Todo um estardalhaço foi feito graças a descoberta de sérias vulnerabilidades contra o JAVA nessa semana. Também teve o problema quanto ao Ruby, mas isso era de se esperar e vale um outro post.

Muita gente correu para remover o JAVA de seus computadores, mas esquecendo que boa parte das soluções de internet banking em nosso país são baseados nele.

Well, o vídeo abaixo demonstra uma das última, se não for a última vulnerabilidade JAVA sendo explorada:

Já estes links apontam para o download do exploit que explora estas vulnerabilidades:
Exploits:
http://pastebin.com/raw.php?i=cUG2ayjh
http://www.exploit-db.com/exploits/24045/

Vale lembrar que não há, até o momento, correção para este problema.

Obrigado ao leitor Nathan Scapini pela dica 🙂

Trabalho há 15 anos com servidores aplicacionais JAVA, e por causa disso, muita gente veio me perguntar se precisavam correr quanto a atualização do JAVA em seus servidores.

Pois bem, vejam o que a Oracle diz sobre esta vulnerabilidade : – http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html :

This Security Alert addresses security issues CVE-2013-0422 (US-CERT Alert TA13-010A – Oracle Java 7 Security Manager Bypass Vulnerability) and another vulnerability affecting Java running in web browsers. These vulnerabilities are not applicable to Java running on servers, standalone Java desktop applications or embedded Java applications. They also do not affect Oracle server-based software.

Em resumo, esta vulnerabilidade só afeta browser e usuários finais que utilizam JAVA.

A atualização do JAVA nos servidores acarreta na pré-validação e compilação do código para uma nova versão. Digo isso porque a maioria dos programas JAVA que rodam por aí foram compilados no JAVA 1.5 e 1.6. São poucos os casos de sistemas e ambientes que já estão rodando no JAVA 1.7.

Compartilhar:

Este post tem 12 comentários

  1. Gustavo, existe alguma ferramenta de scan por exemplo que eu consiga varrer minha rede e descobrir a versão do java de meus servidores? Pq ter acessar de máquina a máquina é fo@#$!!

    Vlw

  2. Destynnos
    Eu uso o OpenAudIT, ele audita todos os Softwares Instalado nas maquinas. Eu uso tanto em ambiente Windows como Linux. Tem também o OCS Inventory.

    Lembrando que precisa de um servidor para armazenar as informações.

  3. Eu recebi já possuia a última versão do Java e hoje 14/01 recebi um patch deles, só me liguei que pode ser uma correção desta vulnerabilidade quando vi este post no blog.

  4. Saiu a correção mas ouvi algumas pessoas falando por aí que continua vulnerável a alguns tipos de ataques…

Deixe uma resposta

Fechar Menu