Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0088 Oracle Java SE, Java SE Embedded, JRockit, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Linux][Debian][Fedora][RedHat][SuSE][Unix][Apple][Solaris][Windows]

17.02.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 15 (17.02.2017):
Für SUSE Linux Enterprise Desktop und Server in den Versionen 12 SP1 und
12 SP2 sowie für Server 12 LTSS, Server for SAP 12 und Server for
Raspberry Pi 12 SP2 stehen Sicherheitsupdates für 'java-1_7_0-openjdk' auf
OpenJDK 7u131 bereit.
Version 14 (16.02.2017):
Canonical stellt für die Distribution Ubuntu 12.04 LTS ein
Sicherheitsupdate für OpenJDK 6 zur Verfügung, um die entsprechenden
Schwachstellen zu beheben.
Version 13 (15.02.2017):
Für SUSE Linux Enterprise Server 12 SP1 und SP2 sowie SUSE Linux
Enterprise Software Development Kit 12 SP1 und SP2 stehen
Sicherheitsupdates für 'java-1_8_0-ibm' auf Version 8.0-4.0 bereit, um die
Schwachstellen zu beheben. Die Schwachstellen CVE-2016-5546,
CVE-2016-8328, CVE-2017-3260 und CVE-2017-3262 werden hier nicht erwähnt.
Version 12 (14.02.2017):
Oracle stellt für Oracle Linux 5 (i386, x86_64), Oracle Linux 6 (i386,
x86_64) und Oracle Linux 7 (x86_64) 'java-1.7.0-openjdk' als
Sicherheitsupdate zur Verfügung. In den Sicherheitsupdates werden die
Schwachstellen CVE-2016-2183, CVE-2016-5549, CVE-2016-8328, CVE-2017-3259,
CVE-2017-3260 und CVE-2017-3262 nicht referenziert.
Version 11 (13.02.2017):
Red Hat stellt für verschiedene Produktvarianten von Red Hat Enterprise
Linux 5, 6 und 7 Sicherheitsupdates für 'java-1.7.0-openjdk' zur
Verfügung. 'java-1.7.0-openjdk' beinhaltet das OpenJDK 7 Java Runtime
Environment und das OpenJDK 7 Java Software Development Kit.
Version 10 (09.02.2017):
Red Hat stellt für verschiedene Produktvarianten von Red Hat Enterprise
Linux 6 Supplementary und Red Hat Enterprise Linux 7 Supplementary
Sicherheitsupdates für 'java-1.8.0-ibm' zur Verfügung, mit denen IBM Java
SE 8 auf Version 8 SR4 aktualisiert wird. IBM Java SE Version 8 beinhaltet
das IBM Java Runtime Environment und das IBM Java Software Development
Kit.
Version 9 (09.02.2017):
Für die Distributionen Debian Jessie (stable, 8.7) und Ubuntu 14.04 LTS
stehen Sicherheitsupdates für OpenJDK 7 zur Verfügung. Beide
Sicherheitsupdates referenzieren die Schwachstellen CVE-2016-5549,
CVE-2016-8328, CVE-2017-3259 und CVE-2017-3262 nicht, von Debian wird
außerdem die Schwachstelle CVE-2016-2183 nicht aufgeführt und in dem
Canonical Update ist die Schwachstelle CVE-2017-3260 nicht enthalten.
Version 8 (03.02.2017):
Für openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen Sicherheitsupdates
für 'java-1_8_0-openjdk' auf Version jdk8u121 (icedtea 3.3.0) bereit,
durch welche die mit Oracle Critical Patch Update of January 2017
adressierten Schwachstellen behoben werden.
Version 7 (02.02.2017):
Für Fedora 24 und 25 stehen aktualisierte Pakete für
'java-1.8.0-openjdk-aarch32' im Status 'testing' bereit, um die
entsprechenden Schwachstellen zu beheben.
Version 6 (01.02.2017):
Für SUSE Linux Enterprise Server 12 SP1 und SP2, für SUSE Linux Enterprise
Server for Raspberry Pi 12 SP2 sowie für SUSE Linux Enterprise Desktop 12
SP1 und SP2 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit.
Version 5 (26.01.2017):
Für die Distributionen Ubuntu 16.10 und Ubuntu 16.04 LTS stehen
Sicherheitsupdates für OpenJDK 8 bereit.
Version 4 (23.01.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun
ebenfalls Sicherheitsupdates für 'java-1.8.0-openjdk' zur Verfügung.
Version 3 (20.01.2017):
Für die Red Hat Enterprise Linux-Produkte Desktop 6 und 7, HPC Node 6 und
7, Server 6, 7 und 7.3 TUS sowie Workstation 6 und 7 stehen
Sicherheitsupdates für 'java-1.8.0-openjdk' bereit.
Version 2 (20.01.2017):
Für Oracle Java for Red Hat Enterprise Linux 6 und Oracle Java for Red Hat
Enterprise Linux 7 stehen Sicherheitsupdates für Oracle Java SE 8 auf
Version 8 Update 121 zur Verfügung, um die relevanten Schwachstellen zu
beheben. Für diese und zusätzlich Oracle Java for RHEL 5 Server und Oracle
Java for RHEL Desktop 5 Client) werden zudem Oracle Java SE 7 auf Version
7 Update 131 und Oracle Java SE 6 auf Version 6 Update 141 aktualisiert.
Oracle Java SE beinhaltet jeweils das Oracle Java Runtime Environment und
das Oracle Java Software Development Kit.
Version 1 (18.01.2017):
Neues Advisory

Betroffene Software:

IBM Java 1.8.0
SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Software Development Kit 12 SP2
Oracle Java SE <= 6u131
Oracle Java SE <= 7u121
Oracle Java SE <= 8u112
Oracle Java SE Embedded <= 8u111
Oracle JRockit <= R28.3.12
OpenJDK 1.6.0
OpenJDK 1.7.0
OpenJDK 1.8.0


Betroffene Plattformen:

Apple Mac OS X
macOS Sierra
Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Debian Linux 8.7 Jessie
GNU/Linux
Microsoft Windows
openSUSE Leap 42.1
openSUSE Leap 42.2
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
Oracle Linux 5
Oracle Linux 6
Oracle Linux 7
Oracle Solaris
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Enterprise Linux Desktop Supplementary 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux HPC Node Supplementary 6
Red Hat Enterprise Linux HPC Node Supplementary 7
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Server Supplementary 6
Red Hat Enterprise Linux Server Supplementary 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Enterprise Linux Workstation Supplementary 6
Red Hat Enterprise Linux Workstation Supplementary 7
Red Hat Fedora 24
Red Hat Fedora 25



Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE,
Java SE Embedded und JRockit ermöglichen einem entfernten, nicht
authentifizierten Angreifer die komplette Systemübernahme, die Manipulation
von Dateien, das Ausspähen von Informationen und verschiedene
Denial-of-Service-Angriffe. Die Schwachstellen betreffen meist Client-, aber
auch Server-Installationen, die auf die Java Sandbox als Sicherheit
zurückgreifen und können zum Teil über Programmschnittstellen (APIs) der
betroffenen Subkomponenten ausgenutzt werden. Zwei der Schwachstellen
betreffen die Installation der Java Mission Control. Für die erfolgreiche
Ausnutzung der Schwachstellen ist teilweise eine nicht näher spezifizierte
Benutzerinteraktion einer anderen Person als der des Angreifers
erforderlich.

Die Schwachstelle CVE-2016-2183 in SSL/TLS betrifft Java SE und Java SE
Embedded und ermöglicht einem entfernten, nicht authentifizierten Angreifer
das Umgehen von Sicherheitsvorkehrungen.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des
Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development
Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen
aktuelle Versionen von Java SE 8 zum Download zur Verfügung, aktuelle
Versionen von Java SE 6 nach April 2013 und Java SE 7 nach April 2015 sind
nur noch auf Anfrage verfügbar. Benutzern von Microsoft Windows und Mac OS X
bzw. macOS Sierra werden die entsprechenden Sicherheitsupdates über die
automatischen Systemupdates zur Verfügung gestellt.

Oracle weist darüber hinaus darauf hin, dass beginnend mit dem kritischen
Patch Update im April 2017 Archivdateien vom Typ 'JAR', die mit MD5 signiert
sind, vom Java Runtime Environment (JRE) als unsigniert angesehen werden und
dass Oracle JRockit JVM mittlerweile in die Oracle Fusion Middleware
integriert ist.


Patch:

Oracle Critical Patch Update Advisory - Januar 2017 - CPUJan2017 - Java SE

<http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html#AppendixJAVA>

Patch:

Red Hat Security Advisory RHSA-2017:0175

<http://rhn.redhat.com/errata/RHSA-2017-0175.html>

Patch:

Red Hat Security Advisory RHSA-2017:0176

<http://rhn.redhat.com/errata/RHSA-2017-0176.html>

Patch:

Red Hat Security Advisory RHSA-2017:0177

<http://rhn.redhat.com/errata/RHSA-2017-0177.html>

Patch:

Red Hat Security Advisory RHSA-2017:0180-1

<http://rhn.redhat.com/errata/RHSA-2017-0180.html>

Patch:

Oracle Linux Security Advisory ELSA-2017-0180

<https://linux.oracle.com/errata/ELSA-2017-0180.html>

Patch:

Ubuntu Security Notice USN-3179-1

<http://www.ubuntu.com/usn/usn-3179-1/>

Patch:

Fedora Security Update FEDORA-2017-4cb58f0bda (Fedora 24,
java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc24)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-4cb58f0bda>

Patch:

Fedora Security Update FEDORA-2017-c1252ccd41 (Fedora 25,
java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc25)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-c1252ccd41>

Patch:

SUSE Security Update SUSE-SU-2017:0346-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-January/002613.html>

Patch:

openSUSE Security Update openSUSE-SU-2017:0374-1

<http://lists.opensuse.org/opensuse-updates/2017-02/msg00017.html>

Patch:

Debian Security Advisory DSA-3782-1

<https://www.debian.org/security/2017/dsa-3782>

Patch:

Red Hat Security Advisory RHSA-2017:0263

<http://rhn.redhat.com/errata/RHSA-2017-0263.html>

Patch:

Ubuntu Security Notice USN-3194-1

<http://www.ubuntu.com/usn/usn-3194-1/>

Patch:

Red Hat Security Advisory RHSA-2017:0269

<http://rhn.redhat.com/errata/RHSA-2017-0269.html>

Patch:

Oracle Linux Security Advisory ELSA-2017-0269

<https://linux.oracle.com/errata/ELSA-2017-0269.html>

Patch:

SUSE Security Update SUSE-SU-2017:0460-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-February/002641.html>

Patch:

Ubuntu Security Notice USN-3198-1

<http://www.ubuntu.com/usn/usn-3198-1/>

Patch:

SUSE Security Update SUSE-SU-2017:0490-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-February/002651.html>


CVE-2017-3289: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung des Systems

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Hotspot) ermöglicht einem entfernten,
nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die
Übernahme von Java SE sowie Java SE Embedded und in der Folge die komplette
Kompromittierung des Systems. Zur Ausnutzung der Schwachstelle ist die
Interaktion eines Benutzers notwendig.


CVE-2017-3272: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung des Systems

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Übernahme von Java SE sowie Java SE Embedded und in
der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers notwendig.


CVE-2017-3262: Schwachstelle in Java SE ermöglicht Ausspähen von
Informationen

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Java Mission Control) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff
auf einige der von Java SE erreichbaren Daten.


CVE-2017-3260: Schwachstelle in Java SE ermöglicht komplette
Kompromittierung des Systems

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente AWT) ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Netzwerkprotokolle die Übernahme von Java SE und
in der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers notwendig.


CVE-2017-3259: Schwachstelle in Java SE ermöglicht Ausspähen von
Informationen

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Deployment) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff
auf einige der von Java SE erreichbaren Daten.



CVE-2017-3253: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente 2D) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Kompromittierung von Java SE, Java SE Embedded und
JRockit durch die wiederholte Erzeugung eines Denial-of-Service-Zustands.


CVE-2017-3252: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente JAAS) ermöglicht einem
entfernten, einfach authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation aller von Java SE, Java SE Embedded und
JRockit erreichbaren Daten. Zur Ausnutzung der Schwachstelle ist die
Interaktion eines Benutzers notwendig.


CVE-2017-3241: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Kompromittierung des Systems

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente RMI) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Übernahme von Java SE, Java SE Embedded sowie JRockit
und in der Folge die komplette Kompromittierung des Systems.


CVE-2017-3231 CVE-2017-3261: Schwachstellen in Java SE und Java SE Embedded
ermöglichen Ausspähen von Informationen

Zwei nicht näher spezifizierte, leicht auszunutzende Schwachstellen in Java
SE und Java SE Embedded (Subkomponente Networking) ermöglichen einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den Zugriff auf einige der von Java SE und Java SE
Embedded erreichbaren Daten. Zur erfolgreichen Ausnutzung ist die
Interaktion eines Benutzers erforderlich.


CVE-2016-8328: Schwachstelle in Java SE ermöglicht Manipulation von Dateien

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Java Mission Control) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle die
Manipulation einiger der von Java SE erreichbaren Daten.


CVE-2016-5552: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien

Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Networking) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation einiger der von Java SE, Java SE
Embedded und JRockit erreichbaren Daten. Im Kontext von Android Geräten
erlaubt diese Schwachstelle das Weiterleiten eines Anwenders beim Browsen
auf eine andere Webseite ohne dessen explizite Zustimmung.


CVE-2016-5548 CVE-2016-5549: Schwachstellen in Java SE und Java SE Embedded
ermöglichen Ausspähen von Informationen

Zwei nicht näher spezifizierte, einfach auszunutzende Schwachstellen in Java
SE und Java SE Embedded (Subkomponente Libraries) ermöglichen einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den unautorisierten Zugriff auf kritische Daten oder den
Zugriff auf alle von Java SE und Java SE Embedded erreichbaren Daten. Zur
Ausnutzung der Schwachstellen ist die Interaktion eines Benutzers notwendig.



CVE-2016-5547: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Kompromittierung von Java SE, Java SE Embedded und
JRockit durch das Bewirken eines partiellen Denial-of-Service-Zustands.


CVE-2016-5546: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien

Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation aller von Java SE, Java SE Embedded und
JRockit erreichbaren Daten.


CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen

HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL
und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter
anderem den 'Triple-DES'-Kryptoalgorithmus nutzen, der gegen den sogenannten
Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die
Schwachstelle ist aufgrund der Art und Weise wie Browser
Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil
diese zwischen einem Webdienst und dem Browser wiederholt hin und her
geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend
Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise
ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder
diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus
diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender
Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den
Inhalt des Session Cookies zu enthüllen. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und
infolgedessen Informationen ausspähen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0088/>

Schwachstelle CVE-2016-2183 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183>

Oracle Critical Patch Update Advisory - Januar 2017 - CPUJan2017 - Java SE:
<http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html#AppendixJAVA>

Oracle CPUJan2017 Risk Matrix Textversion - Java SE:
<http://www.oracle.com/technetwork/security-advisory/cpujan2017verbose-2881728.html#JAVA>

Schwachstelle CVE-2016-5546 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5546>

Schwachstelle CVE-2016-5547 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5547>

Schwachstelle CVE-2016-5548 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5548>

Schwachstelle CVE-2016-5549 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5549>

Schwachstelle CVE-2016-5552 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5552>

Schwachstelle CVE-2016-8328 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8328>

Schwachstelle CVE-2017-3231 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3231>

Schwachstelle CVE-2017-3241 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3241>

Schwachstelle CVE-2017-3252 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3252>

Schwachstelle CVE-2017-3253 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3253>

Schwachstelle CVE-2017-3259 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3259>

Schwachstelle CVE-2017-3260 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3260>

Schwachstelle CVE-2017-3261 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3261>

Schwachstelle CVE-2017-3262 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3262>

Schwachstelle CVE-2017-3272 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3272>

Schwachstelle CVE-2017-3289 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3289>

Red Hat Security Advisory RHSA-2017:0175:
<http://rhn.redhat.com/errata/RHSA-2017-0175.html>

Red Hat Security Advisory RHSA-2017:0176:
<http://rhn.redhat.com/errata/RHSA-2017-0176.html>

Red Hat Security Advisory RHSA-2017:0177:
<http://rhn.redhat.com/errata/RHSA-2017-0177.html>

Red Hat Security Advisory RHSA-2017:0180-1:
<http://rhn.redhat.com/errata/RHSA-2017-0180.html>

Oracle Linux Security Advisory ELSA-2017-0180:
<https://linux.oracle.com/errata/ELSA-2017-0180.html>

Ubuntu Security Notice USN-3179-1:
<http://www.ubuntu.com/usn/usn-3179-1/>

Fedora Security Update FEDORA-2017-4cb58f0bda (Fedora 24,
java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc24):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-4cb58f0bda>

Fedora Security Update FEDORA-2017-c1252ccd41 (Fedora 25,
java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc25):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-c1252ccd41>

SUSE Security Update SUSE-SU-2017:0346-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-January/002613.html>

openSUSE Security Update openSUSE-SU-2017:0374-1:
<http://lists.opensuse.org/opensuse-updates/2017-02/msg00017.html>

Debian Security Advisory DSA-3782-1:
<https://www.debian.org/security/2017/dsa-3782>

Red Hat Security Advisory RHSA-2017:0263:
<http://rhn.redhat.com/errata/RHSA-2017-0263.html>

Ubuntu Security Notice USN-3194-1:
<http://www.ubuntu.com/usn/usn-3194-1/>

Red Hat Security Advisory RHSA-2017:0269:
<http://rhn.redhat.com/errata/RHSA-2017-0269.html>

Oracle Linux Security Advisory ELSA-2017-0269:
<https://linux.oracle.com/errata/ELSA-2017-0269.html>

SUSE Security Update SUSE-SU-2017:0460-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-February/002641.html>

Ubuntu Security Notice USN-3198-1:
<http://www.ubuntu.com/usn/usn-3198-1/>

SUSE Security Update SUSE-SU-2017:0490-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-February/002651.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 07/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.