Las vulnerabilidades de seguridad en la implementación de LDAP de Java Runtime Environment (JRE) pueden permitir una denegación de servicio (DoS) y la ejecución de código malicioso

Bug Id
6717680, 6737315
Fecha de publicación resuelta
24-Mar-2009
Vulnerabilidades de seguridad en la implementación de LDAP de Java Runtime Environment (JRE) pueden permitir una denegación de servicio (DoS) y la ejecución de código malicioso:
1. Impacto
CR 6717680:
Una vulnerabilidad de seguridad en el entorno de tiempo de ejecución de Java (JRE) dentro de la inicialización de las conexiones LDAP puede ser explotada por un cliente remoto para provocar una condición de denegación de servicio (DoS) en el servicio LDAP.
CR 6737315:
Una vulnerabilidad de seguridad en la implementación de la cli de Java Runtime Environment LDAP puede permitir que los datos maliciosos de un servidor LDAP provoquen la carga y ejecución inesperada de código malicioso en un cliente LDAP.
2. Factores contribuyentes
Estos problemas pueden producirse en las siguientes versiones de Java SE y Java SE for Business para Windows, Solaris y Linux:

• JDK y JRE 5.0 Update 17 y anteriores
• JDK y JRE 6 Update 12 y anteriores

y en la siguiente versión de Java SE for Business para Windows, Solaris y Linux:

• SDK y JRE 1.4.2_19 y anteriores

y en la siguiente versión de Java SE para Windows y Solaris:

• SDK y JRE 1.3.1_24 y anteriores

Para determinar la versión de Java instalada en un sistema, se puede utilizar el siguientecomando:

 % java -version
java version "1.5.0_17

Para determinar la versión por defecto del JRE que utiliza Internet Explorer, consulte la siguiente URL:

• http://java.com/en/download/installed.jsp?detect=jre&try=1

Para determinar la versión por defecto del JRE que utilizan los navegadores Mozilla o Firefox, visite la URL «about:plugins». El navegador mostrará una página llamada «Complementos instalados» que enumera la versión del JavaPlug-in:

 Java(TM) Platform SE 6 U11

En este ejemplo, la versión del JRE que utiliza el navegador es 6Update 11.
3.Síntomas
Si se produce el problema descrito en el CR 6717680, es posible que el servicio LDAP no responda.
No hay síntomas fiables que indiquen que se ha explotado el problema descrito en el CR 6737315.
4. Solución
No hay soluciones para estos problemas. Por favor, consulte la sección Resolución más abajo.
5. Resolución
Estos problemas se abordan en las siguientes versiones:

• JDK y JRE 6 Update 13 o posterior
• JDK y JRE 5.0 Update 18 o posterior

y en la siguiente versión de Java SE for Business para Windows, Solaris y Linux:

• SDK y JRE 1.4.2_20 o posterior

y en la siguiente versión de Java SE para Windows y Solaris:

• SDK y JRE 1.3.1_25 o posterior

Las versiones de Java SE están disponibles en:
JDK y JRE 6 Update 13:

• http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

• http://java.com/
• A través de la herramienta Java Updatetool para usuarios de Microsoft Windows

JDK 6 Update 13 para Solaris está disponible en los siguientes parches:

• Java SE 6: actualización 13 (tal como se entrega en el parche 125136-14)
• Java SE 6: actualización 13 (tal como se entrega en el parche 125137-14 (64bit))
• Java SE 6_x86: actualización 13 (como se entrega en el parche 125138-14)
• Java SE 6_x86: actualización 13 (como se entrega en el parche 125139-14 (64bit))

JDK y JRE 5.0 Update 18:

• http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 para Solaris está disponible en los siguientes parches:

• J2SE 5.0: update 18 (como se entrega en el parche 118666-19)
• J2SE 5.0: update 18 (como se entrega en el parche 118667-19 (64bit))
• J2SE 5.0_x86: actualización 18 (como se entrega en el parche 118668-19)
• J2SE 5.0_x86: actualización 18 (como se entrega en el parche 118669-19 (64bit))

Las versiones de Java SE para empresas están disponibles en:

• http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Nota 1: Las versiones de Java SESDK y JRE 1.4.2 han completado el proceso de fin de vida útil de Sun (EOSL). Sun recomienda que los usuarios se actualicen a la última versión de Java SE. Se recomienda a los clientes interesados en seguir recibiendo correcciones críticas en SDK y JRE 1.4.2 que migren a Java SE for Business.
Nota 2: SDK y JRE 1.3.1 han completado el proceso de fin de vida útil (EOSL) de Sun y sólo se admiten para clientes con contratos de soporte de Solaris 8 y Vintage Support Offerings (véase http://java.sun.com/j2se/1.3/download.html).Sun recomienda encarecidamente que los usuarios se actualicen a la última versión de Java SE.
Nota 3: Cuando se instala una nueva versión del producto a partir de una fuente que no sea un parche de Solaris, se recomienda eliminar las antiguas versiones afectadas del sistema.Para eliminar las antiguas versiones afectadas en la plataforma Windows, consulte:

• http://www.java.com/en/download/help/5000010800.xml

Para obtener más información sobre las alertas de seguridad de Sun, consulte 1009886.1.
Esta notificación de alerta de Sun se le proporciona «tal cual». Esta notificación de Sun Alert puede contener información proporcionada por terceros. Los problemas descritos en esta notificación de Sun Alert pueden no afectar a su(s) sistema(s). Sun no se hace responsable de la información contenida en este documento. POR LA PRESENTE SE RECHAZA TODA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS, SIN LIMITACIÓN, LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN. AL ACCEDER A ESTE DOCUMENTO, USTED RECONOCE QUE SUN NO SERÁ RESPONSABLE EN NINGÚN CASO DE LOS DAÑOS DIRECTOS, INDIRECTOS, INCIDENTALES, PUNITIVOS O CONSECUENTES QUE SE DERIVEN DEL USO O DE LA FALTA DE USO DE LA INFORMACIÓN AQUÍ CONTENIDA. Esta notificación de Sun Alert contiene información confidencial y de propiedad de Sun. Se le proporciona en virtud de las disposiciones de su acuerdo de compra de servicios de Sun o, si no tiene dicho acuerdo, de las condiciones de uso de Sun.com. Esta notificación de alerta de Sun sólo puede utilizarse para los fines contemplados en estos acuerdos.