Falla de seguridad en el paquete libjettison de java puede causar ataque DoS

Algunas distribuciones como Debian y Ubuntu han informado de vulnerabilidades presentadas en el paquete de libjettison-java que puede causar por intervención maliciosa de un usuario remoto la denegación del servicio (DoS).

Los expertos para las distribuciones de Debian, Ubuntu y tal vez otras más, solucionaron un problema de seguridad relacionado con la biblioteca libjettison de Java que estaba afectando algunas de las versiones de estos sistemas operativos basados en Linux, para ello han pedido actualizar a versiones recientes de seguridad.

A principios del año 2023 la gente de Debian publicaron anotaciones sobre las múltiples fallas con este paquete, que se registraron bajo los números 1022553 y 1022554, donde informaron que el paquete StAX (Streaming API for XML, por sus siglas en inglés) diseñado para analizar y convertir XML a JSON o viceversa permitía la entrada arbitraria bien diseñada para causar una denegación de servicio por falta de memoria o errores de desbordamiento de pila. Este problema se corrigió para las versiones: «buster» (security) 1.5.3-1~deb10u1 y «bullseye» 1.5.3-1~deb11u1, así como para «bookworm» (1.5.3-1), «sid» y «trixie» (1.5.4-1) como señala el CVE-2022-45693.

Por su parte, Ubuntu informó el 19 de junio de 2023 más detalles del problema que afecta también a varias de sus versiones, entre las que se listan las siguientes: Ubuntu 22.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS y Ubuntu 16.04 LTS.

La gente de Canonical detalló el problema de igual manera que lo hizo Debian, señalando que el paquete de Jettison manejaba incorrectamente ciertas entradas, por lo que si un usuario o un sistema automatizado fuese engañado para abrir un especialmente diseñado archivo de entrada, el atacante remoto podría causar el Bug para causar una denegación de servicio.

Los usuarios de Ubuntu deben actualizar este paquete a sus versiones más recientes: libjettison-java 1.4.1-1ubuntu0.22.10.1 (Ubuntu 22.10), libjettison-java 1.4.1-1ubuntu0.22.04.1 (Ubuntu 22.04 LTS), libjettison-java 1.4.0-1ubuntu0.20.04.1 (Ubuntu 20.04 LTS), libjettison-java 1.4.0-1ubuntu0.18.04.1~esm1 (Ubuntu 18.04 LTS) y libjettison-java 1.2-3ubuntu0.1~esm1 (Ubuntu 16.04 LTS) como lo indica una notificación o anuncio sobre esta vulnerabilidad.

La falla se encontró en versiones previas a v1.5.2 de Jettison, que contenía un desbordamiento de pila a través del parámetro de mapa.