Múltiples vulnerabilidades de Java reportadas por Oracle en la actualización Java SE de enero de 2016 han sido resueltas para ePolicy Orchestrator (ePO).
SOFTWARE AFECTADO:
-
ePO 5.1.3 y anteriores
-
ePO 5.3.1 y anteriores
VERSIONES PARCHEADAS/CORREGIDAS:
Las vulnerabilidades se han corregido en estas versiones:
-
ePO 5.1.3 + Hotfix 1117371 (EPO5xHF1117371.zip)
-
ePO 5.3.1 + Hotfix 1117371 (EPO5xHF1117371.zip)
IMPACTO:
-
CVE-2015-8472 (CVSS: 7.3; Severidad: Alta) Un buffer overflow en la función png_set_PLTE de libpng antes de 1.0.65, 1.1.x y 1.2.x antes de 1.2.55, 1.3.x, 1.4.x antes de 1.4.18, 1.5.x antes de 1.5.25, y 1.6.x antes de 1.6.20 permite que los ataques remotos causen una denegación de servicios (cuelgue de la aplicación) o posiblemente tener otro impacto sin especificar a través de un pequeño valor de un bit en un chunk IHDR (o imagen de cabecera) en una imagen PNG.
-
CVE-2015-8126 (CVSS: 7.3; Severidad: Alta) Múltiples buffer overflows en las funciones (1) png_set_PLTE y (2) png_get_PLTE de libpng antes de 1.0.64, 1.1.x y 1.2.x antes de 1.2.54, 1.3.x y 1.4.x antes de 1.4.17, 1.5.x antes de 1.5.24, y 1.6.x antes de 1.6.19 permiten que ataques remotos causen una denegación de servicios (cuelgue de la aplicación) o posiblemente tener otro impacto sin especificar a través de un pequeño valor de un bit en un chunk IHDR (o imagen de cabecera) en una imagen PNG.
-
CVE-2016-0475 (CVSS: 4.8; Severidad: Media) Vulnerabilidades sin especificar en Java SE, Java SE Embebido y componentes JRockit de Oracle Java SE 8u66; Java SE Embebido 8u65; y JRockit R28.3.8 permiten que ataques remotos afecten la confidencialidad y la integridad a través de vectores relacionados con las Librerias.
-
CVE-2016-0466 (CVSS: 5.3; Severidad: Media) Vulnerabilidades sin especificar en Java SE, Java SE Embebido y componentes JRockit de Oracle Java SE 6u105, 7u91, y 8u66; Java SE Embebido 8u65; y JRockit R28.3.8 permiten que ataques remotos afecten la disponibilidad a través de vectores relacionados con JAXP.
RECOMENDACIÓN:
McAfee recomienda que todos sus clientes verifiquen que se han aplicado las últimas actualizaciones. Los usuarios afectados deben instalar los hotfixes correspondientes.
Para más información, consultar el artículo de McAfee Knowledge Base SB10148, Intel Security – Security Bulletin: ePolicy Orchestrator update fixes multiple Oracle Java vulnerabilities:
https://kc.mcafee.com/corporate/index?page=content&id=SB10148
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 5 de Febrero de 2016