Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (13.08.2014):
Für Ubuntu 10.04 LTS und Ubuntu 12.04 LTS wurden Sicherheitsupdates für
OpenJDK 6 bereitgestellt, welche die Schwachstellen CVE-2014-4227 und
CVE-2014-4265 nicht umfassen.
Version 2 (23.07.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate bereit,
welches zusätzlich die Schwachstelle CVE-2014-4268 adressiert, aber die
Schwachstellen CVE-2014-4227 und CVE-2014-4265 nicht umfasst.
Version 1 (22.07.2014):
Neues Advisory
Betroffene Software:
Oracle Java SE < 6u81 OpenJDK 1.6.0 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Debian Linux 7.5 Wheezy Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux 6 Workstation Red Hat Enterprise Linux 7 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Mehrere Schwachstellen können von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden, um beliebige Befehle auszuführen, Daten zu manipulieren oder Daten zu lesen. In einem Fall ist auch die Durchführung eines Denial-of-Service-Angriffs möglich. Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte sind Sicherheitsupdates für Oracle Java 1.6.0 und OpenJDK 1.6.0 erschienen. Die Schwachstellen CVE-2014-2490 und CVE-2014-4266 sind nur für OpenJDK und die Schwachstellen CVE-2014-4227 und CVE-2014-4265 nur für Oracle Java behoben. Für die Distribution Debian Wheezy steht ein Sicherheitsupdate bereit, welches zusätzlich die Schwachstelle CVE-2014-4268 adressiert, aber die Schwachstellen CVE-2014-4227 und CVE-2014-4265 nicht umfasst. Patch: Red Hat Security Advisory RHSA-2014:0907 http://rhn.redhat.com/errata/RHSA-2014-0907.html
Patch:
Red Hat Security Advisory RHSA-2014:0908
http://rhn.redhat.com/errata/RHSA-2014-0908.html
Patch:
Debian Security Advisory DSA-2980-1
https://www.debian.org/security/2014/dsa-2980
Patch:
Ubuntu Security Notice USN-2312-1
http://www.ubuntu.com/usn/usn-2312-1/
CVE-2014-4268: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Swing von Java SE, die über mehrere Protokolle über das Netzwerk z.B. über
Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht angemeldeter
Angreifer kann diese Schwachstelle ausnutzen, um Daten zu lesen.
CVE-2014-4265: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstellen in der Komponenten
Deployment von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
unberechtigt Daten zu manipulieren.
CVE-2014-4262: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Libraries von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Mehrere
Berechtigungsprüfungen funktionieren nicht korrekt. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4227: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Deployment von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige
Befehle zu Ausführung zu bringen.
CVE-2014-4209 CVE-2014-4218 CVE-2014-4252 CVE-2014-4266: Schwachstellen in
Oracle Java SE
Es existieren mehrere nicht näher beschriebene Schwachstellen in den
Komponenten JMX, Libraries, Security, und Serviceability von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden können. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstellen ausnutzen, um Daten zu manipulieren und zu lesen.
CVE-2014-4263: Schwachstelle in Oracle Java SE und JRockit
Es existiert eine Schwachstelle in der Sicherheitskomponente von Java SE und
JRockit, die über mehrere Protokolle über das Netzwerk z.B. über Java Web
Start Anwendungen und Java Applets ausgenutzt werden kann. Die
Implementierung des Diffie-Hellman (DH) Schlüsselaustausch-Algorithmus
überprüft die öffentlichen Diffie-Hellman-Parameter nicht richtig. Betroffen
sind Client- und Server-Installationen. Ein entfernter, nicht angemeldeter
Angreifer kann diese Schwachstelle ausnutzen, um Daten zu manipulieren und
zu lesen.
CVE-2014-4244: Schwachstelle in Oracle Java SE und JRockit
Es existiert eine Schwachstelle in der Sicherheitskomponente von Java SE und
JRockit, die über mehrere Protokolle über das Netzwerk z.B. über Java Web
Start Anwendungen und Java Applets ausgenutzt werden kann. Der
RSA-Algorithmus führt das “blinding”, während der Benutzung privater
Schlüssel, nicht richtig durch. Betroffen sind Client- und
Server-Installationen. Ein entfernter, nicht angemeldeter Angreifer kann
diese Schwachstelle ausnutzen, um Daten zu manipulieren und zu lesen.
CVE-2014-4216 CVE-2014-4219: Schwachstellen in Oracle Java SE
Es existieren zwei Schwachstellen in der Komponente Hotspot von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden können. Bytecode aus den
Class-Dateien wird nicht richtig überprüft. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstellen ausnutzen, um beliebige Befehle zu Ausführung zu
bringen.
CVE-2014-2490: Schwachstelle in Oracle Java SE
Es existiert eine Format-String-Schwachstelle im Event-Logger der Komponente
Hotspot von Java SE, die über mehrere Protokolle über das Netzwerk z.B. über
Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige
Befehle zur Ausführung zu bringen oder Denial-of-Service-Angriffe
durchzuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0944/
Schwachstelle CVE-2014-2490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2490
Schwachstelle CVE-2014-4209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4209
Schwachstelle CVE-2014-4216 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4216
Schwachstelle CVE-2014-4218 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4218
Schwachstelle CVE-2014-4219 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4219
Schwachstelle CVE-2014-4227 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4227
Schwachstelle CVE-2014-4244 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4244
Schwachstelle CVE-2014-4252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4252
Schwachstelle CVE-2014-4262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4262
Schwachstelle CVE-2014-4263 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4263
Schwachstelle CVE-2014-4265 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4265
Schwachstelle CVE-2014-4266 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4266
Schwachstelle CVE-2014-4268 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4268
Red Hat Security Advisory RHSA-2014:0907:
http://rhn.redhat.com/errata/RHSA-2014-0907.html
Red Hat Security Advisory RHSA-2014:0908:
http://rhn.redhat.com/errata/RHSA-2014-0908.html
Debian Security Advisory DSA-2980-1:
https://www.debian.org/security/2014/dsa-2980
Ubuntu Security Notice USN-2312-1:
http://www.ubuntu.com/usn/usn-2312-1/
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
