Vulnerabilità in Sun Java JRE: disponibili le patch

di Fabio Boneschi, pubblicata il 08 Ottobre 2007, alle 09:24 nel canale Sicurezza

“Sun ha distribuito alcune patch che risolvono problemi di sicurezza su alcune versioni di Sun Java JRE”

Nuove e pericolose falle sono state individuate all'interno di  Sun Java JRE (Java Runtime Environment) da parte di Secunia, società specializzata in problematiche di sicurezza informatica. I problemi rilevati riguardano vari prodotti Java e, potenzialmente, consentirebbero a malintezionati di eludere le varie restrizioni di sicurezza, e compromettere sistemi vulnerabili.

Un dettagliato report in merito a queste vulnerabilità definite da Secunia con il grado "Highly critical " sono disponibili in questo dettagliato report. Riportiamo qui di seguito alcune parti delle note che documentano i problemi di sicurezza:

The vulnerabilities are reported in the following versions:
* JDK and JRE 6 Update 2 and earlier
* JDK and JRE 5.0 Update 12 and earlier
* SDK and JRE 1.4.2_15 and earlier
* SDK and JRE 1.3.1_20 and earlier

NOTE: Some vulnerabilities only affect certain versions or browsers. Please see the vendor's advisories for details.

Secunia ha affermato che la gravità dei problemi rilevati è da ricercare anche nel fatto che i comuni software per la sicurezza presenti sui client non individuano come malevolo il codice Java capace di sfruttare le vulnerabilità in oggetto. Sun ha distribuito alcune patch, la cui installazione è estremamente raccomandata, disponibili ai seguenti indirizzi:

  • JDK and JRE 6 Update 2 (patch)
  • JDK and JRE 5.0 Update 12 (patch)
  • SDK and JRE 1.4.2_15 (patch)
  • SDK and JRE 1.3.1_20 (patch)

Ulteriori informazioni sono state distribuite anche da Sun che mette a disposizione queste ulteriori risorse.



Commenti (10)

Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info
Per contattare l'autore del pezzo, così da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non è detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.
Commento # 1 di: alegeott pubblicato il 08 Ottobre 2007, 11:38
strano...
io, su linux, ho usato uno script (make-jpkg-mustang) per aggiornare java e mi ha scaricato la versione 6u5, build 4...
E' datata 27 settembre; sapete a cosa sia dovuta questa differenza di versione?
Devo aggiornare anch'io?
La pagina di riferimento del sito java (in pratica, una pagina di feed) comunque è questa; l'elenco della versione più recente è qui e non mi pare corrisponda alla versione segnalata e a cui si arriva dal download sul sito principale www.java.com. E' ben strano...
Purtroppo non posso verificare se ho la versione più recente o no, perché non scrivo dal mio pc.
Commento # 2 di: sasyultrasnapoli pubblicato il 08 Ottobre 2007, 11:50
Aggiornato alla versio0ne + recente, però ho notato che in alcune situazioni (quando chatto ad es.) la lingua si e trasformata in inglese e quindi niente piu italiano

Mahh.....
Commento # 3 di: mjordan pubblicato il 08 Ottobre 2007, 12:20
Originariamente inviato da: alegeott
strano...
io, su linux, ho usato uno script (make-jpkg-mustang) per aggiornare java e mi ha scaricato la versione 6u5, build 4...
E' datata 27 settembre; sapete a cosa sia dovuta questa differenza di versione?


E' dovuta al fatto che quello script scarica le early access delle build del JRE, quindi non va bene per niente. Quelle sono versioni da "testing" e non sono indirizzate all'utenza di massa. L'ultima versione del JRE stabile attualmente rilasciata è l'update 3 (1.6.0_03-b05). Non so dove tu abbia preso quello script, comunque installare Java sotto Linux non è che sia una impresa titanica tanto da richiedere uno script.

Devo aggiornare anch'io?


Viste come stanno le cose, tu soprattutto. Ma con una versione stabile e ufficiale.

La pagina di riferimento del sito java (in pratica, una pagina di feed) comunque è questa;


No, quella non è la pagina di riferimento. Quella è la pagina del progetto. La pagina di riferimento per gli utenti consumer è http://www.java.com per il JRE e http://java.sun.com per il JDK.

l'elenco della versione più recente è qui e non mi pare corrisponda alla versione segnalata e a cui si arriva dal download sul sito principale www.java.com. E' ben strano...


Non è strano fin quando ti rendi conto che quella pagina non contiene delle build stabili e ufficiali ma bensi delle early access per il testing. Gli utenti finali dovrebbero usare esclusivamente le build prese dalle pagine che ho linkato sopra.
Commento # 4 di: alethebest90 pubblicato il 08 Ottobre 2007, 13:35
io ho l'update 3 devo installare anche io la patch?
Commento # 5 di: The_Saint pubblicato il 08 Ottobre 2007, 17:49
Originariamente inviato da: alethebest90
io ho l'update 3 devo installare anche io la patch?

No: "* JDK and JRE 6 Update 2 and earlier"
Commento # 6 di: hexaae pubblicato il 09 Ottobre 2007, 18:31
Io mi ritrovo una versione JRE 1.6.0-oem (build 1.6.0-oem-b104) faccio "Aggiorna" dal pannello e mi dice che è aggiornato... che devo fare?
Commento # 7 di: The_Saint pubblicato il 09 Ottobre 2007, 23:59
Originariamente inviato da: hexaae
Io mi ritrovo una versione JRE 1.6.0-oem (build 1.6.0-oem-b104) faccio "Aggiorna" dal pannello e mi dice che è aggiornato... che devo fare?


Vai qui:
http://javashoplm.sun.com/ECom/docs...sactionId=noreg

scarica "Windows Offline Installation, Multi-language", disinstalla l'attuale versione ed installa quella nuova...
Commento # 8 di: mjordan pubblicato il 10 Ottobre 2007, 00:50
Originariamente inviato da: The_Saint
Vai qui:
https://sdlc3d.sun.com/ECom/EComAct...9BE80D56162F4D5

scarica "Windows Offline Installation, Multi-language", disinstalla l'attuale versione ed installa quella nuova...


Quel link non funziona, perchè è soggetto ad un login e la sessione ovviamente è scaduta.
Mi domando cosa ci sia di difficile nel capire che Java per l'utenza consumer vada scaricato da www.java.com:
http://www.java.com/it/download/manual.jsp
Commento # 9 di: The_Saint pubblicato il 10 Ottobre 2007, 01:04
Originariamente inviato da: mjordan
Quel link non funziona, perchè è soggetto ad un login e la sessione ovviamente è scaduta.
Mi domando cosa ci sia di difficile nel capire che Java per l'utenza consumer vada scaricato da www.java.com:
http://www.java.com/it/download/manual.jsp


Link corretto... chiedo venia!
Commento # 10 di: alegeott pubblicato il 11 Ottobre 2007, 11:44
Originariamente inviato da: mjordan
E' dovuta al fatto che quello script scarica le early access delle build del JRE, quindi non va bene per niente. Quelle sono versioni da "testing" e non sono indirizzate all'utenza di massa. L'ultima versione del JRE stabile attualmente rilasciata è l'update 3 (1.6.0_03-b05). Non so dove tu abbia preso quello script, comunque installare Java sotto Linux non è che sia una impresa titanica tanto da richiedere uno script.

Non è strano fin quando ti rendi conto che quella pagina non contiene delle build stabili e ufficiali ma bensi delle early access per il testing. Gli utenti finali dovrebbero usare esclusivamente le build prese dalle pagine che ho linkato sopra.


Chiedo venia, avevo usato quello script (non era chiaro poi che scaricasse versioni di sviluppo) perchè ho avuto dei problemi con le installazioni normali (il sistema operativo non riconosceva la nuova versione).
Alla fine però ho risolto usando java-package: trasforma il file bin in un pacchetto .deb, pronto all'installazione (uso Ubuntu 7.04 a 32bit).
Devi effettuare il login per poter commentare
La discussione è consultabile anche qui, sul forum.