UPDATE: DFN-CERT-2014-0906 Oracle Java SE, JRockit: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle [Linux][Fedora][RedHat][Solaris][Windows]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (25.07.2014):
Für Fedora 19 und 20 stehen Sicherheitsupdates für die OpenJDK 1.7.0 und
OpenJDK 1.8.0 Versionen zur Verfügung.
Version 2 (18.07.2014):
Red Hat veröffentlicht für verschiedene Red Hat Enterprise Linux 5, 6 und
7 Produkte Sicherheitsupdates für Oracle Java 1.7.0, wobei die
Schwachstellen CVE-2014-4247 und CVE-2014-4268 über diese Updates nicht
behoben werden.
Version 1 (16.07.2014):
Neues Advisory

Betroffene Software:

Oracle Java SE <= 5.0u65 Oracle Java SE <= 6u75 Oracle Java SE <= 7u60 Oracle Java SE <= 8u5 Oracle JRockit <= R27.8.2 Oracle JRockit <= R28.3.2 OpenJDK 1.7.0 OpenJDK 1.8.0 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Oracle Solaris Red Hat Enterprise Linux 5 Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux 6 Workstation Red Hat Enterprise Linux 7 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Fedora 19 Red Hat Fedora 20 Mit dem Juli 2014 Patch Day hat Oracle 20 Sicherheitslücken in Java SE und JRockit geschlossen. Die Schwachstellen können von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden, um beliebige Befehle auszuführen, Daten zu manipulieren, Daten zu lesen und einen Denial-of-Service-Zustand herbeizuführen. Patch: Oracle Critical Patch Update Advisory - July 2014 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Patch:

Red Hat Security Advisory RHSA-2014:0902

http://rhn.redhat.com/errata/RHSA-2014-0902.html

Patch:

Fedora Security Update FEDORA-2014-8395

https://admin.fedoraproject.org/updates/FEDORA-2014-8395/java-1.7.0-openjdk-1.7.0.65-2.5.1.2.fc19

Patch:

Fedora Security Update FEDORA-2014-8407

https://admin.fedoraproject.org/updates/FEDORA-2014-8407/java-1.8.0-openjdk-1.8.0.11-1.b12.fc20

Patch:

Fedora Security Update FEDORA-2014-8417

https://admin.fedoraproject.org/updates/FEDORA-2014-8417/java-1.7.0-openjdk-1.7.0.65-2.5.1.2.fc20

Patch:

Fedora Security Update FEDORA-2014-8441

https://admin.fedoraproject.org/updates/FEDORA-2014-8441/java-1.8.0-openjdk-1.8.0.11-1.b12.fc19

CVE-2014-4264: Schwachstelle in Oracle Java SE

Es existiert eine nicht näher beschriebene Schwachstelle in der
Sicherheitskomponente von Java SE, die über die Protokolle SSL und TLS über
das Netzwerk ausgenutzt werden kann. Betroffen sind Client-und
Server-Installationen von JSSE. Ein entfernter, nicht angemeldeter Angreifer
kann diese Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand
herbeizuführen.

CVE-2014-4244 CVE-2014-4263: Schwachstellen in Oracle Java SE und JRockit

Es existieren zwei nicht näher beschriebene Schwachstellen in der
Sicherheitskomponente von Java SE und JRockit, die über mehrere Protokolle
über das Netzwerk z.B. über Java Web Start Anwendungen und Java Applets
ausgenutzt werden können. Betroffen sind Client- und Server-Installationen.
Ein entfernter, nicht angemeldeter Angreifer kann diese Schwachstellen
ausnutzen, um Daten zu manipulieren und zu lesen.

CVE-2014-4223 CVE-2014-4227 CVE-2014-4247 CVE-2014-4262: Schwachstellen in
Oracle Java SE

Es existieren mehrere nicht näher beschriebene Schwachstellen in den
Komponenten Libraries und Hotspot von Java SE, die über mehrere Protokolle
über das Netzwerk z.B. über Java Web Start Anwendungen und Java Applets
ausgenutzt werden können. Betroffen sind nur Client-Installationen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um beliebige Befehle zu Ausführung zu bringen.

CVE-2014-4221 CVE-2014-4252 CVE-2014-4268: Schwachstellen in Oracle Java SE

Es existieren drei nicht näher beschriebene Schwachstellen in der
Komponenten Libraries, Security und Swing von Java SE, die über mehrere
Protokolle über das Netzwerk z.B. über Java Web Start Anwendungen und Java
Applets ausgenutzt werden können. Betroffen sind nur Client-Installationen.
Ein entfernter, nicht angemeldeter Angreifer kann diese Schwachstellen
ausnutzen, um Daten zu lesen.

CVE-2014-4208 CVE-2014-4209 CVE-2014-4218 CVE-2014-4220 CVE-2014-4265
CVE-2014-4266: Schwachstellen in Oracle Java SE

Es existieren mehrere nicht näher beschriebene Schwachstellen in den
Komponenten Deployment, JMX, Libraries und Serviceability von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden können. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstellen ausnutzen, um unberechtigt Daten zu manipulieren
und zu lesen.

CVE-2014-2483 CVE-2014-2490 CVE-2014-4216 CVE-2014-4219: Schwachstellen in
Oracle Java SE

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0906/

Oracle Critical Patch Update Advisory – July 2014:
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Schwachstelle CVE-2014-2483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2483

Schwachstelle CVE-2014-2490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2490

Schwachstelle CVE-2014-4208 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4208

Schwachstelle CVE-2014-4209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4209

Schwachstelle CVE-2014-4216 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4216

Schwachstelle CVE-2014-4218 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4218

Schwachstelle CVE-2014-4219 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4219

Schwachstelle CVE-2014-4220 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4220