Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0676 Oracle Java SE, Java SE Embedded, JRockit, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Linux][RedHat][Unix][Apple][Solaris][Windows][Netzwerk]

21.04.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (21.04.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun
ebenfalls Sicherheitsupdates für OpenJDK 1.8.0 bereit, um die
Schwachstellen CVE-2017-3509, CVE-2017-3511, CVE-2017-3526, CVE-2017-3533,
CVE-2017-3539 und CVE-2017-3544 zu beheben.
Version 2 (20.04.2017):
Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, HPC
Node, Server und Workstation sowie für Red Hat Enterprise Linux Server TUS
v. 7.3 stehen Sicherheitsupdates für OpenJDK 1.8.0 bereit. Mittels der
Sicherheitsupdates werden die Schwachstellen CVE-2017-3509, CVE-2017-3511,
CVE-2017-3526, CVE-2017-3533, CVE-2017-3539 und CVE-2017-3544 behoben.
Version 1 (19.04.2017):
Neues Advisory

Betroffene Software:

Oracle Java SE 6u141
Oracle Java SE 7u131
Oracle Java SE 8u121
Oracle Java SE Embedded 8u121
Oracle JRockit R28.3.13
OpenJDK 1.8.0


Betroffene Plattformen:

Apple Mac OS X
macOS Sierra
GNU/Linux
HP-UX
Microsoft Windows
Oracle Linux 6
Oracle Linux 7
Oracle Solaris
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7



Mehrere schwer auszunutzende Schwachstellen in verschiedenen Subkomponenten
von Oracle Java SE 6u141, 7u131 und 8u121, Java SE Embedded 8u121 sowie
JRockit R28.3.13 ermöglichen einem entfernten, nicht authentisierten
Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das
Ausspähen von Informationen und einen Denial-of-Service-Angriff. Eine
Schwachstelle ermöglicht auch einem lokalen, nicht authentisierten Angreifer
die komplette Kompromittierung eines Systems. Die Schwachstellen betreffen
meist Client-, aber auch Server-Installationen. Für die erfolgreiche
Ausnutzung der Schwachstellen ist teilweise eine nicht näher spezifizierte
Interaktion einer anderen Person als der des Angreifers erforderlich.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des
Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development
Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es steht eine
aktuelle Versionen von Java SE 8 (Version 8u131) zum Download zur Verfügung.
Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015
und JRockit sind nur noch auf Anfrage verfügbar.

Oracle weist darüber hinaus darauf hin, dass beginnend mit diesem kritischen
Patch Update Archivdateien vom Typ 'JAR', die mit MD5 signiert sind, vom
Java Runtime Environment (JRE) als unsigniert angesehen werden und stellt
Informationen zu zukünftigen Plänen in diesem Kontext als 'Cryptographic
Roadmap' zur Verfügung.


Patch:

Download von Java Updates

<http://www.oracle.com/technetwork/java/javase/downloads/index.html>

Patch:

Oracle Critical Patch Update Advisory - April 2017 - Oracle Java SE

<http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html#AppendixJAVA>

Patch:

Red Hat Security Advisory RHSA-2017:1108

<http://rhn.redhat.com/errata/RHSA-2017-1108.html>

Patch:

Red Hat Security Advisory RHSA-2017:1109

<http://rhn.redhat.com/errata/RHSA-2017-1109.html>

Patch:

Oracle Linux Security Advisory ELSA-2017-1108

<https://linux.oracle.com/errata/ELSA-2017-1108.html>

Patch:

Oracle Linux Security Advisory ELSA-2017-1109

<https://linux.oracle.com/errata/ELSA-2017-1109.html>


CVE-2017-3539: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Manipulation von Daten

In der Subkomponente 'Security' von Java SE und Java SE Embedded besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Verbindungsprotokolle für seine Zwecke nutzen kann. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der Software
und ermöglicht dem Angreifer die Manipulation einiger der von der Software
erreichbaren Daten. Die Schwachstelle betrifft Client-Installationen von
Java SE und Java SE Embedded.


CVE-2017-3533 CVE-2017-3544: Schwachstellen in Java SE, Java SE Embedded und
JRockit ermöglichen Manipulation von Daten

In der Subkomponente 'Networking' von Java SE, Java SE Embedded und JRockit
bestehen zwei schwer auszunutzende Schwachstellen, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die betroffene Software
über FTP oder SMTP für seine Zwecke nutzen kann. Ein erfolgreicher Angriff
erfordert keine Interaktion eines Benutzers der Software und ermöglicht dem
Angreifer die Manipulation einiger der von der betroffenen Software
erreichbaren Daten. Die Schwachstellen betreffen Client- und
Server-Installationen von Java SE, Java SE Embedded und JRockit.


CVE-2017-3526: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff

In der Subkomponente 'Java API for XML Processing (JAXP)' von Java SE, Java
SE Embedded und JRockit besteht eine schwer auszunutzende Schwachstelle, die
ein entfernter, nicht authentisierter Angreifer mit Netzwerkzugriff auf die
betroffene Software über verschiedene Protokolle für seine Zwecke nutzen
kann. Ein erfolgreicher Angriff erfordert keine Interaktion eines Benutzers
der Software und ermöglicht dem Angreifer wiederholbar die Erzeugung eines
Denial-of-Service-Zustands. Die Schwachstelle betrifft Client- und
Server-Installationen von Java SE, Java SE Embedded und JRockit, die in der
Folge eines Angriffs ihre Funktion nicht mehr erfüllen oder nicht mehr
erreichbar sind.


CVE-2017-3512 CVE-2017-3514: Schwachstellen in Java SE ermöglichen komplette
Systemübernahme

In der Subkomponente 'Abstract Window Toolkit (AWT)' von Java SE bestehen
zwei schwer auszunutzende Schwachstellen, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Protokolle für seine Zwecke nutzen kann. Ein erfolgreicher
Angriff erfordert die Interaktion eines Benutzers der Software und
ermöglicht dem Angreifer die komplette Kompromittierung der Software und in
der Folge des gesamten Systems. Die Schwachstellen betreffen
Client-Installationen von Java SE. Java SE 6u141 ist nur von der
Schwachstelle CVE-2017-3514 betroffen.


CVE-2017-3511: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht komplette Systemübernahme

In der Subkomponente 'Java Cryptography Extension (JCE)' von Java SE, Java
SE Embedded und JRockit besteht eine schwer auszunutzende Schwachstelle, die
ein lokaler, nicht authentisierter Angreifer für seine Zwecke nutzen kann.
Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers der
Software und ermöglicht dem Angreifer die komplette Kompromittierung der
Software und in der Folge des gesamten Systems. Die Schwachstelle betrifft
Client- und Server-Installationen von Java SE, Java SE Embedded und JRockit.


CVE-2017-3509: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen und Manipulation von Daten

In der Subkomponente 'Networking' von Java SE und Java SE Embedded besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Verbindungsprotokolle für seine Zwecke nutzen kann. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der Software
und ermöglicht dem Angreifer Lese- und Schreibzugriff auf eine Untermenge
der von der Software erreichbaren Daten. Die Schwachstelle betrifft
Client-Installationen von Java SE und Java SE Embedded.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0676/>

Download von Java Updates:
<http://www.oracle.com/technetwork/java/javase/downloads/index.html>

Oracle Critical Patch Update Advisory - April 2017 - Oracle Java SE:
<http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html#AppendixJAVA>

CPUApr2017 Risk Matrix - Oracle Java SE:
<http://www.oracle.com/technetwork/security-advisory/cpuapr2017verbose-3236619.html#JAVA>

Hinweis zu MD5-signierten Archiven:
<https://blogs.oracle.com/java-platform-group/entry/oracle_jre_will_no_longer>

Oracle JRE and JDK Cryptographic Roadmap:
<https://www.java.com/en/jre-jdk-cryptoroadmap.html>

Schwachstelle CVE-2017-3509 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3509>

Schwachstelle CVE-2017-3511 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3511>

Schwachstelle CVE-2017-3512 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3512>

Schwachstelle CVE-2017-3514 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3514>

Schwachstelle CVE-2017-3526 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3526>

Schwachstelle CVE-2017-3533 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3533>

Schwachstelle CVE-2017-3539 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3539>

Schwachstelle CVE-2017-3544 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3544>

Red Hat Security Advisory RHSA-2017:1108:
<http://rhn.redhat.com/errata/RHSA-2017-1108.html>

Red Hat Security Advisory RHSA-2017:1109:
<http://rhn.redhat.com/errata/RHSA-2017-1109.html>

Oracle Linux Security Advisory ELSA-2017-1108:
<https://linux.oracle.com/errata/ELSA-2017-1108.html>

Oracle Linux Security Advisory ELSA-2017-1109:
<https://linux.oracle.com/errata/ELSA-2017-1109.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 06/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.