Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (17.09.2014):
Mit dem Update USN-2319-3 wird die Stabilität für ARM64 und ppc64el
Architekturen verbessert.
Version 3 (26.08.2014):
Mit USN-2319-1 wurden diese Schwachstellen in OpenJDK 7 bereits für Ubuntu
14.04 LTS adressiert. Hierdurch wurde allerdings eine entgegengerichtete
Regression (“upstream regression”) verursacht. Die Verifikation des
Aufrufs der Init-Methode schlägt fehl, wenn dieser aus dem Innern eines
Astes heraus erfolgt, während Stapelrahmen (“stack frames”) aktiviert
sind. Das Update USN-2319-2 behebt diese Regression.
Version 2 (20.08.2014):
Ubuntu stellt Sicherheitspatches für die Distribution Ubuntu 14.04 LTS zur
Verfügung.
Version 1 (28.07.2014):
Neues Advisory
Betroffene Software:
OpenJDK 1.7.0
Betroffene Plattformen:
Canonical Ubuntu Linux 14.04 Lts
Debian Linux 7.5 Wheezy
Mehrere Schwachstellen können von einem entfernten, nicht authentifizierten
Angreifer ausgenutzt werden, um beliebige Befehle auszuführen, Daten zu
manipulieren, Daten zu lesen oder einen Denial-of-Service-Zustand
herbeizuführen.
Patch:
Debian Security Advisory DSA-2987-1
https://www.debian.org/security/2014/dsa-2987
Patch:
Ubuntu Security Notice USN-2319-1
http://www.ubuntu.com/usn/usn-2319-1/
Patch:
Ubuntu Security Notice USN-2319-2
http://www.ubuntu.com/usn/usn-2319-2/
Patch:
Ubuntu Security Notice USN-2319-3
http://www.ubuntu.com/usn/usn-2319-3/
CVE-2014-4266: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Serviceability von Java SE, die über mehrere Protokolle über das Netzwerk
z.B. über Java Web Start Anwendungen und Java Applets ausgenutzt werden
kann. Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu
manipulieren.
CVE-2014-4252: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Security von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu
lesen.
CVE-2014-4223: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Libraries von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Mehrere
Berechtigungsprüfungen funktionieren nicht korrekt. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4221: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Libraries von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu
lesen.
CVE-2014-4219: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Hotspot von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Bytecode aus den
Class-Dateien wird nicht richtig überprüft. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4218: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Libraries von Java SE, die über mehrere Protokolle über das Netzwerk z.B.
über Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu
manipulieren.
CVE-2014-4216: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Hotspot von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Bytecode aus den
Class-Dateien wird nicht richtig überprüft. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4209: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
JMX von Java SE, die über mehrere Protokolle über das Netzwerk z.B. über
Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu
manipulieren und zu lesen.
CVE-2014-2483: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Libraries von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Mehrere
Berechtigungsprüfungen funktionieren nicht korrekt. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4268: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der Komponente
Swing von Java SE, die über mehrere Protokolle über das Netzwerk z.B. über
Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht angemeldeter
Angreifer kann diese Schwachstelle ausnutzen, um Daten zu lesen.
CVE-2014-4262: Schwachstelle in Oracle Java SE
Es existiert eine Schwachstelle in der Komponente Libraries von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden kann. Mehrere
Berechtigungsprüfungen funktionieren nicht korrekt. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Befehle zur Ausführung zu
bringen.
CVE-2014-4263: Schwachstelle in Oracle Java SE und JRockit
Es existiert eine Schwachstelle in der Sicherheitskomponente von Java SE und
JRockit, die über mehrere Protokolle über das Netzwerk z.B. über Java Web
Start Anwendungen und Java Applets ausgenutzt werden kann. Die
Implementierung des Diffie-Hellman (DH) Schlüsselaustausch-Algorithmus
überprüft die öffentlichen Diffie-Hellman-Parameter nicht richtig. Betroffen
sind Client- und Server-Installationen. Ein entfernter, nicht angemeldeter
Angreifer kann diese Schwachstelle ausnutzen, um Daten zu manipulieren und
zu lesen.
CVE-2014-4244: Schwachstelle in Oracle Java SE und JRockit
Es existiert eine Schwachstelle in der Sicherheitskomponente von Java SE und
JRockit, die über mehrere Protokolle über das Netzwerk z.B. über Java Web
Start Anwendungen und Java Applets ausgenutzt werden kann. Der
RSA-Algorithmus führt das “blinding”, während der Benutzung privater
Schlüssel, nicht richtig durch. Betroffen sind Client- und
Server-Installationen. Ein entfernter, nicht angemeldeter Angreifer kann
diese Schwachstelle ausnutzen, um Daten zu manipulieren und zu lesen.
CVE-2014-2490: Schwachstelle in Oracle Java SE
Es existiert eine Format-String-Schwachstelle im Event-Logger der Komponente
Hotspot von Java SE, die über mehrere Protokolle über das Netzwerk z.B. über
Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige
Befehle zur Ausführung zu bringen oder Denial-of-Service-Angriffe
durchzuführen.
CVE-2014-4264: Schwachstelle in Oracle Java SE
Es existiert eine nicht näher beschriebene Schwachstelle in der
Sicherheitskomponente von Java SE, die über die Protokolle SSL und TLS über
das Netzwerk ausgenutzt werden kann. Betroffen sind Client-und
Server-Installationen von JSSE. Ein entfernter, nicht angemeldeter Angreifer
kann diese Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand
herbeizuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0972/
Schwachstelle CVE-2014-2483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2483
Schwachstelle CVE-2014-2490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2490
Schwachstelle CVE-2014-4209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4209
Schwachstelle CVE-2014-4216 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4216
Schwachstelle CVE-2014-4218 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4218
Schwachstelle CVE-2014-4219 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4219
Schwachstelle CVE-2014-4221 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4221
Schwachstelle CVE-2014-4223 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4223
Schwachstelle CVE-2014-4244 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4244
Schwachstelle CVE-2014-4252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4252
Schwachstelle CVE-2014-4262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4262
Schwachstelle CVE-2014-4263 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4263
Schwachstelle CVE-2014-4264 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4264
Schwachstelle CVE-2014-4266 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4266
Schwachstelle CVE-2014-4268 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4268
Debian Security Advisory DSA-2987-1:
https://www.debian.org/security/2014/dsa-2987
Ubuntu Security Notice USN-2319-1:
http://www.ubuntu.com/usn/usn-2319-1/
Ubuntu Security Notice USN-2319-2:
http://www.ubuntu.com/usn/usn-2319-2/
Ubuntu Security Notice USN-2319-3:
http://www.ubuntu.com/usn/usn-2319-3/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
