Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (01.07.2015):
Für das SUSE Linux Enterprise Module for Legacy Software 12 steht ein
Sicherheitsupdate auf IBM Java 1.6.0 bereit.
Version 4 (29.06.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP3, Server 11 SP3
und Server 11 SP3 für VMware stehen Sicherheitsupdates für IBM Java 1.7.0
auf Version SR9 zur Verfügung.
Version 3 (25.06.2015):
SUSE stellt für SUSE Linux Enterprise Server 11 SP2 LTSS ein
Sicherheitsupdate auf IBM Java 1.7.0 SR9 und SUSE Linux Enterprise Server
10 SP4 LTSS ein Sicherheitsupdate auf Java 1.6.0 SR16-FP4 bereit.
Version 2 (23.06.2015):
Für SUSE Linux Enterprise 11 SP3 Software Development Kit, Server und
Server für VMware stehen Sicherheitsupdates auf IBM Java 1.6.0 SR16-FP4
zur Verfügung.
Version 1 (22.06.2015):
Neues Advisory
Betroffene Software:
IBM Java 1.5.0
IBM Java 1.6.0
IBM Java 1.7.0
Betroffene Plattformen:
SUSE Linux Enterprise Module for Legacy Software 12
SUSE Software Development Kit 11 SP3 Enterprise
SUSE Manager 1.7 for SLE 11 SP2
SUSE Linux Enterprise Server 10 SP4 LTSS
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
Mehrere Schwachstellen in IBM Java ermöglichen es einem zumeist entfernten
und nicht authentisierten Angreifer Denial-of-Service-Angriffe
durchzuführen, Sicherheitsmechanismen zu umgehen, vertrauliche Informationen
auszuspähen und durch die Ausführung beliebigen Programmcodes die
vollständige Systemkontrolle zu erlangen.
SUSE stellt Sicherheitsupdates auf die Versionen IBM Java 1.5.0 SR16-FP10
und IBM Java 1.6.0 SR16-FP4 zur Verfügung.
Patch:
SUSE Security Update SUSE-SU-2015:1085-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151085-1.html
Patch:
SUSE Security Update SUSE-SU-2015:1086-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151086-1.html
Patch:
SUSE Security Update SUSE-SU-2015:1086-2
https://www.suse.com/support/update/announcement/2015/suse-su-20151086-2.html
Patch:
SUSE Security Update SUSE-SU-2015:1086-3
https://www.suse.com/support/update/announcement/2015/suse-su-20151086-3.html
Patch:
SUSE Security Update SUSE-SU-2015:1138-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151138-1.html
Patch:
SUSE Security Update SUSE-SU-2015:1086-4
https://www.suse.com/support/update/announcement/2015/suse-su-20151086-4.html
Patch:
SUSE Security Update SUSE-SU-2015:1161-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151161-1.html
CVE-2015-2808: Schwachstelle in der TLS/SSL-Protokoll-Implementierung
Der RC4-Algorithmus, wie er im TLS-Protokoll und SSL-Protokoll verwendet
wird, kombiniert während der Initialisierungsphase Statusdaten nicht korrekt
mit Schlüsseldaten. Ein entfernter, nicht authentifizierter Angreifer kann
durch Ausnutzen dieser Schwachstelle leichter den Klartext der initialen
Bytes eines Streams ermitteln, indem er den Netzwerkverkehr belauscht, der
gelegentlich auf Schlüsseln beruht, die von dieser Invarianzschwäche
betroffen sind, um in der Folge einen Brute-Force-Angriff unter Verwendung
von LSB-Werten gegen die Verschlüsselung durchzuführen (“Bar
Mitzvah”-Problem) und dadurch Informationen auszuspähen.
CVE-2015-1914: Schwachstelle in IBM JDK erlaubt Umgehen von
Sicherheitsvorkehrungen
Eine nicht näher spezifizierte Schwachstelle im IBM JDK ermöglicht die
Java-Sandbox-Beschränkungen zu umgehen. Ein entfernter, nicht
authentifizierter Angreifer kann nicht näher spezifizierte Angriffe
durchführen, wodurch er möglicherweise Informationen ausspähen kann.
CVE-2015-0192: Schwachstelle in IBM JDK erlaubt Umgehen von
Sicherheitsvorkehrungen
Eine nicht näher spezifizierte Schwachstelle im IBM JDK ermöglicht die
Java-Sandbox-Beschränkungen zu umgehen. Ein entfernter, nicht
authentifizierter Angreifer kann nicht näher spezifizierte Angriffe
durchführen, wodurch möglicherweise sogar beliebiger Programmcode ausgeführt
werden kann.
CVE-2015-0488: Schwachstelle in Oracle Java SE und JRockit ermöglicht
Denial-of-Service-Angriff
OpenJDK, Oracle Java SE und JRockit enthalten in der Implementierung des
SSL/TLS-Protokolls in der JSSE-Komponente eine Schwachstelle im Parser von
X.509-Zertifikaten. Betroffen sind die Versionen Java SE 5.0u81, Java SE
6u91, Java SE 7u76, Java SE 8u40 sowie JRockit R28.3.5. Dies ermöglicht
einem entfernten, nicht authentifizierten Angreifer durch das Senden eines
präparierten Zertifikats die Anwendung zum Absturz zu bringen.
CVE-2015-0480: Schwachstelle in Java ermöglicht Directory Traversal
OpenJDK und Oracle Java in den Versionen Java SE 5.0u81, Java SE 6u91, Java
SE 7u76, Java SE 8u40 enthalten eine Directory Traversal Schwachstelle im
Code, der für das Entpacken von JAR-Archivdateien zuständig ist. Dies
ermöglicht einem entfernten Angreifer ohne Authentifizierung durch das
Senden oder Bereitstellen einer präparierten JAR-Archivdatei, beliebige für
den Benutzer schreibbare Dateien zu überschreiben.
CVE-2015-0478: Schwachstelle in Java schränkt Vertraulichkeit ein
Die RSA-Implementierung in der JCE-Komponente in OpenJDK, Java SE und
JRockit entspricht nicht den aktuellen Sicherheitsempfehlungen. Dies
ermöglicht einem entfernten Angreifer ohne Authentifizierung vertrauliche
Daten auszuspähen. Betroffen sind von dieser Schwachstelle Java SE 5.0u81,
Java SE 6u91, Java SE 7u76, Java SE 8u40 und JRockit R28.3.5
CVE-2015-0477: Schwachstelle in Java ermöglicht Beeinträchtigung der
Integrität
Java enthält in der Komponente Beans der Versionen Java SE 5.0u81, Java SE
6u91, Java SE 7u76 und Java SE 8u40 eine nicht näher beschriebene
Schwachstelle. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer die Integrität teilweise zu beeinträchtigen.
CVE-2015-0469: Schwachstelle in Java ermöglicht Ausführung beliebiger
Befehle
OpenJDK und Oracle Java SE in den Versionen 5.0u81, 6u91, 7u76 und 8u40
enthält eine Buffer-Overflow-Schwachstelle im Font-Parser der
2D-Subkomponente. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer, durch das Senden oder Bereitstellen einer präparierten
Font-Datei, beliebige Befehle in der Java VM zur Ausführung zu bringen.
CVE-2015-0459 CVE-2015-0491: Schwachstellen in Java ermöglichen Ausführung
beliebiger Befehle
Oracle Java SE in den Versionen 5.0u81, 6u91, 7u76, 8u40 und in Java FX
2.2.76 sowie IBM Java SE Version 6 enthalten zwei nicht näher spezifizierte
Schwachstellen in der 2D-Subkomponente. Diese ermöglichen einem entfernten,
nicht authentifizierten Angreifer, beliebige Befehle zur Ausführung zu
bringen.
CVE-2015-0458: Schwachstelle in Oracle / IBM Java SE ermöglicht Ausführung
beliebiger Befehle
Oracle Java in den Versionen SE 6u91, SE 7u76 und SE 8u40 sowie IBM Java SE
6 enthalten eine nicht näher beschriebene Schwachstelle in der Komponente
“Deployment”. Diese ermöglicht einem entfernten, nicht authentifizierten
Angreifer, beliebige Befehle zur Ausführung zu bringen.
CVE-2015-0138: Schwachstelle in IBM-Komponente GSKit ermöglicht das Umgehen
von Sicherheitsmaßnahmen
Eine Schwachstelle in der TLS-Implementierung in der IBM-Komponente GSKit,
die u. a. im Tivoli Directory Server und in IBM Mobile Connect genutzt wird,
ermöglicht es, die Sicherheitsstufe einer TLS/SSL-Verbindung auf EXPORT_RSA
Verschlüsselung herunterzustufen. Der Angriff ist als FREAK-Angriff bekannt
und umfasst inzwischen mehrere Schwachstellen. Ein entfernter, nicht
authentifizierter Angreifer kann Sicherheitsmaßnahmen umgehen.
CVE-2015-0204: Schwachstelle in OpenSSL ermöglicht Umgehen von
Sicherheitsvorkehrungen
Die ssl3_get_key_exchange-Funktion in s3_clnt.c in OpenSSL bevor 0.9.8zd,
1.0.0 bevor 1.0.0p sowie 1.0.1 bevor 1.0.1k erlaubt einem entfernten
SSL-Server RSA-to-EXPORT_RSA herunterzustufen (“downgrade attack”) und,
durch das Anbieten eines schwachen Ephemeral RSA-Schlüssels in einer nicht
verträglichen Rolle, eine Brute-Force-Entschlüsselung zu ermöglichen. Ein
entfernter, nicht authentifizierter Angreifer, der einen SSL-Server
kontrolliert, kann Sicherheitsvorkehrungen umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0884/
Schwachstelle CVE-2015-0204 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
Schwachstelle CVE-2015-0138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0138
Schwachstelle CVE-2015-2808 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2808
Schwachstelle CVE-2015-0458 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0458
Schwachstelle CVE-2015-0459 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0459
Schwachstelle CVE-2015-0469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0469
Schwachstelle CVE-2015-0477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0477
Schwachstelle CVE-2015-0478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0478
Schwachstelle CVE-2015-0480 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0480
Schwachstelle CVE-2015-0488 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0488
Schwachstelle CVE-2015-0491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0491
Schwachstelle CVE-2015-0192 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0192
Schwachstelle CVE-2015-1914 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1914
SUSE Security Update SUSE-SU-2015:1085-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151085-1.html
SUSE Security Update SUSE-SU-2015:1086-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151086-1.html
SUSE Security Update SUSE-SU-2015:1086-2:
https://www.suse.com/support/update/announcement/2015/suse-su-20151086-2.html
SUSE Security Update SUSE-SU-2015:1086-3:
https://www.suse.com/support/update/announcement/2015/suse-su-20151086-3.html
SUSE Security Update SUSE-SU-2015:1138-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151138-1.html
SUSE Security Update SUSE-SU-2015:1086-4:
https://www.suse.com/support/update/announcement/2015/suse-su-20151086-4.html
SUSE Security Update SUSE-SU-2015:1161-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151161-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
