Se ha descubierto una vulnerabilidad en el JRE (Java Runtime
Environment, entorno de ejecución de Java) que permitiría a un usuario
remoto malicioso y sin privilegios provocar una denegación de servicio
en dicho entorno y por extensión a los servidores que corran bajo el.
Sun ha informado de que el problema reside en la función
decodeArrayLoop() en ISO2022_JP$Decoder, que bajo determinadas
circunstancias, puede entrar en un bucle infinito y quedar así bloqueado
sin generar respuestas.
La vulnerabilidad se presenta en las versiones 1.4.2 a la 1.4.2_03 del
JRE y SDK en los entornos Windows, Solaris y Linux, mientras que en
versiones anteriores no se ha observado.
Para comprobar que versión se está utilizando en una instalación, se
utiliza el parámetro “-fullversion”, como en el siguiente ejemplo:
$ java -fullversion
java full version “1.4.2_04-b03
Sun ha publicado la versión 1.4.2_04 que corrige este problema en cada
plataforma afectada, y que está disponible en la siguiente dirección:
http://java.sun.com/j2se/
Más Información:
Java Runtime Environment Remote Denial of Service (DoS) Vulnerability
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57555
Julio Canto
jcanto@hispasec.com