Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (14.01.2016):
Für SUSE Linux Enterprise Server 10 SP4 LTSS steht ein Sicherheitsupdate
für IBM Java 1.6.0 auf die Version 6.0.16.15 bereit.
Version 5 (15.12.2015):
SUSE stellt für das SUSE Linux Enterprise Software Development Kit 12 SP1
und den SUSE Linux Enterprise Server 12 SP1 Sicherheitsupdates für IBM
Java 1.8.0 und IBM Java 1.7.1 zur Verfügung. Die Schwachstellen
CVE-2015-2625 und CVE-2015-2808 werden dabei nicht benannt. Für IBM Java
1.8.0 werden nur die in diesem Advisory referenzierten Schwachstellen
beginnend mit CVE-2015-4734 und höhere CVE-IDs adressiert.
Version 4 (08.12.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP3, Server 11 SP3,
Server für VMware 11 SP3 und Server 11 SP2 LTSS stehen Sicherheitsupdates
für IBM Java 1.7.0 bereit. Die Schwachstellen CVE-2015-2625 und
CVE-2015-2808 werden darin nicht benannt.
Version 3 (04.12.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP4 und Server 11
SP4 stehen Sicherheitsupdates für IBM Java 1.7.1 bereit. Die
Schwachstellen CVE-2015-2625 und CVE-2015-2808 werden nicht adressiert.
Für das SUSE Linux Enterprise Module for Legacy Software 12 stehen
aktualisierte Pakete für IBM Java 1.6.0 als Sicherheitsupdate zur
Verfügung, welches alle hier aufgelisteten Schwachstellen adressiert.
Version 2 (03.12.2015):
Für SUSE Linux Enterprise Software Development Kit 12 und Server 12 stehen
Sicherheitsupdates für IBM Java 1.7.1 zur Verfügung. Die Schwachstellen
CVE-2015-2625 und CVE-2015-2808 werden nicht adressiert.
Version 1 (02.12.2015):
Neues Advisory
Betroffene Software:
IBM Java 1.6.0
IBM Java 1.7.0
IBM Java 1.7.1
IBM Java 1.8.0
Betroffene Plattformen:
SUSE Linux Enterprise Module for Legacy Software 12
SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12
SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Server 10 SP4 LTSS
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Server 12 SP1
Mehrere Schwachstellen in IBM Java ermöglichen einem entfernten, nicht
authentisierten Angreifer die Übernahme des Systems und damit das Ausführen
beliebigen Programmcodes, die Manipulation und das Ausspähen von Daten, das
Umgehen von Sicherheitsvorkehrungen sowie das Bewirken eines
Denial-of-Service (DoS)-Zustandes.
SUSE stellt für SUSE Linux Enterprise Software Development Kit 11 SP3,
Server und Server für VMware 11 SP3 sowie Server 11 SP2 LTSS
Sicherheitsupdates für IBM Java 1.6.0 bereit.
Patch:
SUSE Security Update SUSE-SU-2015:2166-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152166-1.html
Patch:
SUSE Security Update SUSE-SU-2015:2168-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152168-1.html
Patch:
SUSE Security Update SUSE-SU-2015:2182-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152182-1.html
Patch:
SUSE Security Update SUSE-SU-2015:2192-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152192-1.html
Patch:
SUSE Security Update SUSE-SU-2015:2216-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152216-1.html
Patch:
SUSE Security Update SUSE-SU-2015:2168-2
https://www.suse.com/support/update/announcement/2015/suse-su-20152168-2.html
Patch:
SUSE Security Update SUSE-SU-2015:2268-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152268-1.html
Patch:
SUSE Security Update SUSE-SU-2016:0113-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160113-1.html
CVE-2015-5006: Schwachstelle in IBM JDK ermöglicht Ausspähen von
Informationen
Eine Schwachstelle im IBM JDK ermöglicht einem lokalen, nicht
authentisierten Angreifer das Auslesen von Kerberos Credentials aus dem
Cache. Das IBM Java Software Development Kit (JDK) ist jeweils Bestandteil
der betroffenen IBM Java SE Versionen, der von IBM gepflegten Varianten von
Oracle Java SE.
CVE-2015-4911: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60, Java SE Embedded 8u51 und in
JRockit R28.3.7 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einen partiellen
Denial-of-Service (DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft
Client und Server Installationen von Java und kann über Sandboxed Java Web
Start Anwendungen und Sandboxed Java Applets ausgenutzt werden, aber auch
ohne diese durch Datenübermittlung an APIs in der spezifischen Komponente,
z.B. durch einen Web Service.
CVE-2015-4903: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente RMI von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert eine Untermenge der über Java SE, Java
SE Embedded zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4902: Schwachstelle in Java SE ermöglicht Manipulation von Dateien
Eine leicht auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 6u101, Java SE 7u85 und Java SE 8u60 ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
unautorisiert einige über Java SE zugreifbare Daten einzufügen, zu verändern
oder zu löschen. Diese Schwachstelle betrifft ausschließlich Client
Installationen von Java und kann nur über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4893: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60, Java SE Embedded 8u51 und in
JRockit R28.3.7 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einen partiellen
Denial-of-Service (DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft
Client und Server Installationen von Java und kann über Sandboxed Java Web
Start Anwendungen und Sandboxed Java Applets ausgenutzt werden. Die
Schwachstelle kann auch durch direkte Datenübermittlung an APIs in der
spezifischen Komponente ausgenutzt werden, z.B. durch Web Services.
CVE-2015-4883: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente RMI von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4882: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Denial-of-Service
Eine leicht auszunutzende Schwachstelle in der Subkomponente CORBA von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert einen partiellen Denial-of-Service
(DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft ausschließlich
Client Installationen von Java und kann nur über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4872: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht die Manipulation von Dateien
Eine leicht auszunutzende Schwachstelle in der Subkomponente Security von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60, Java SE Embedded 8u51 und
JRockit R28.3.7 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einige über Java SE,
Java SE Embedded, JRockit zugreifbare Daten einzufügen, zu verändern oder zu
löschen. Diese Schwachstelle betrifft Client und Server Installationen von
Java und kann über Sandboxed Java Web Start Anwendungen und Sandboxed Java
Applets ausgenutzt werden. Die Schwachstelle kann auch durch direkte
Datenübermittlung an APIs in der spezifischen Komponente ausgenutzt werden,
z.B. durch Web Services.
CVE-2015-4871: Schwachstelle in Java SE ermöglicht Ausspähen von
Informationen und Manipulation von Dateien
Eine schwer auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 7u85 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einige über Java SE
zugreifbare Daten einzufügen, zu verändern oder zu löschen und eine
Untermenge der über Java SE zugreifbaren Daten zu lesen. Diese Schwachstelle
betrifft ausschließlich Client Installationen von Java und kann nur über
Sandboxed Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2015-4860: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente RMI von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4844: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4843: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4842: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert eine Untermenge der über Java SE, Java
SE Embedded zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4840: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51 ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
unautorisiert eine Untermenge der über Java SE, Java SE Embedded
zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft ausschließlich
Client Installationen von Java und kann nur über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4835: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente CORBA von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4810: Schwachstelle in Java SE ermöglicht das Ausführen beliebigen
Programmcodes
Eine schwer auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 7u85 und Java SE 8u60 ermöglicht einem lokalen, am
Betriebssystem angemeldeten Angreifer über verschiedene Protokolle
unautorisiert das Betriebssystem komplett zu übernehmen und somit auch
beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4806: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen und Manipulation von Dateien
Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert einige über Java SE, Java SE Embedded
zugreifbare Daten einzufügen, zu verändern oder zu löschen und eine
Untermenge der über Java SE, Java SE Embedded zugreifbaren Daten zu lesen.
Diese Schwachstelle betrifft ausschließlich Client Installationen von Java
und kann nur über Sandboxed Java Web Start Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
CVE-2015-4805: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente Serialization
von Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded
8u51 ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4803: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60, Java SE Embedded 8u51 und in
JRockit R28.3.7 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einen partiellen
Denial-of-Service (DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft
Client und Server Installationen von Java und kann über Sandboxed Java Web
Start Anwendungen und Sandboxed Java Applets ausgenutzt werden, aber auch
ohne diese durch Datenübermittlung an APIs in der spezifischen Komponente,
z.B. durch einen Web Service.
CVE-2015-4734: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente JGSS von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert eine Untermenge der über Java SE, Java
SE Embedded zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-2625: Schwachstelle in Java SE, Java SE Emdedded und JRockit
ermöglicht das Ausspähen von Informationen
Eine sehr schwer ausnutzbare Schwachstelle in der Subkomponente JSSE von
Oracle Java SE, Java SE Emdedded und JRockit ermöglicht einem entfernten,
nicht authentifizierten Angreifer über das SSL/TLS Protokoll, unautorisiert
Lesezugriff auf ein Subset von Daten zu erhalten, die für Java SE, Java SE
Emdedded oder JRockit zugänglich sind. Dies betrifft sowohl Client als auch
Server Installationen von Java.
CVE-2015-2808: Schwachstelle in der TLS/SSL-Protokoll-Implementierung
Der RC4-Algorithmus, wie er im TLS-Protokoll und SSL-Protokoll verwendet
wird, kombiniert während der Initialisierungsphase Statusdaten nicht korrekt
mit Schlüsseldaten. Ein entfernter, nicht authentifizierter Angreifer kann
durch Ausnutzen dieser Schwachstelle leichter den Klartext der initialen
Bytes eines Streams ermitteln, indem er den Netzwerkverkehr belauscht, der
gelegentlich auf Schlüsseln beruht, die von dieser Invarianzschwäche
betroffen sind, um in der Folge einen Brute-Force-Angriff unter Verwendung
von LSB-Werten gegen die Verschlüsselung durchzuführen (“Bar
Mitzvah”-Problem) und dadurch Informationen auszuspähen.
CVE-2015-0488: Schwachstelle in Oracle Java SE und JRockit ermöglicht
Denial-of-Service-Angriff
OpenJDK, Oracle Java SE und JRockit enthalten in der Implementierung des
SSL/TLS-Protokolls in der JSSE-Komponente eine Schwachstelle im Parser von
X.509-Zertifikaten. Betroffen sind die Versionen Java SE 5.0u81, Java SE
6u91, Java SE 7u76, Java SE 8u40 sowie JRockit R28.3.5. Dies ermöglicht
einem entfernten, nicht authentifizierten Angreifer durch das Senden eines
präparierten Zertifikats die Anwendung zum Absturz zu bringen.
CVE-2015-0480: Schwachstelle in Java ermöglicht Directory Traversal
OpenJDK und Oracle Java in den Versionen Java SE 5.0u81, Java SE 6u91, Java
SE 7u76, Java SE 8u40 enthalten eine Directory Traversal Schwachstelle im
Code, der für das Entpacken von JAR-Archivdateien zuständig ist. Dies
ermöglicht einem entfernten Angreifer ohne Authentifizierung durch das
Senden oder Bereitstellen einer präparierten JAR-Archivdatei, beliebige für
den Benutzer schreibbare Dateien zu überschreiben.
CVE-2015-0478: Schwachstelle in Java schränkt Vertraulichkeit ein
Die RSA-Implementierung in der JCE-Komponente in OpenJDK, Java SE und
JRockit entspricht nicht den aktuellen Sicherheitsempfehlungen. Dies
ermöglicht einem entfernten Angreifer ohne Authentifizierung vertrauliche
Daten auszuspähen. Betroffen sind von dieser Schwachstelle Java SE 5.0u81,
Java SE 6u91, Java SE 7u76, Java SE 8u40 und JRockit R28.3.5
CVE-2015-0477: Schwachstelle in Java ermöglicht Beeinträchtigung der
Integrität
Java enthält in der Komponente Beans der Versionen Java SE 5.0u81, Java SE
6u91, Java SE 7u76 und Java SE 8u40 eine nicht näher beschriebene
Schwachstelle. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer die Integrität teilweise zu beeinträchtigen.
CVE-2015-0469: Schwachstelle in Java ermöglicht Ausführung beliebiger
Befehle
OpenJDK und Oracle Java SE in den Versionen 5.0u81, 6u91, 7u76 und 8u40
enthält eine Buffer-Overflow-Schwachstelle im Font-Parser der
2D-Subkomponente. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer, durch das Senden oder Bereitstellen einer präparierten
Font-Datei, beliebige Befehle in der Java VM zur Ausführung zu bringen.
CVE-2015-0459 CVE-2015-0491: Schwachstellen in Java ermöglichen Ausführung
beliebiger Befehle
Oracle Java SE in den Versionen 5.0u81, 6u91, 7u76, 8u40 und in Java FX
2.2.76 sowie IBM Java SE Version 6 enthalten zwei nicht näher spezifizierte
Schwachstellen in der 2D-Subkomponente. Diese ermöglichen einem entfernten,
nicht authentifizierten Angreifer, beliebige Befehle zur Ausführung zu
bringen.
CVE-2015-0458: Schwachstelle in Oracle / IBM Java SE ermöglicht Ausführung
beliebiger Befehle
Oracle Java in den Versionen SE 6u91, SE 7u76 und SE 8u40 sowie IBM Java SE
6 enthalten eine nicht näher beschriebene Schwachstelle in der Komponente
“Deployment”. Diese ermöglicht einem entfernten, nicht authentifizierten
Angreifer, beliebige Befehle zur Ausführung zu bringen.
CVE-2015-0204: Schwachstelle in OpenSSL ermöglicht Umgehen von
Sicherheitsvorkehrungen
Die ssl3_get_key_exchange-Funktion in s3_clnt.c in OpenSSL bevor 0.9.8zd,
1.0.0 bevor 1.0.0p sowie 1.0.1 bevor 1.0.1k erlaubt einem entfernten
SSL-Server RSA-to-EXPORT_RSA herunterzustufen (“downgrade attack”) und,
durch das Anbieten eines schwachen Ephemeral RSA-Schlüssels in einer nicht
verträglichen Rolle, eine Brute-Force-Entschlüsselung zu ermöglichen. Ein
entfernter, nicht authentifizierter Angreifer, der einen SSL-Server
kontrolliert, kann Sicherheitsvorkehrungen umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1853/
Schwachstelle CVE-2015-0204 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
Schwachstelle CVE-2015-2808 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2808
Schwachstelle CVE-2015-0458 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0458
Schwachstelle CVE-2015-0459 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0459
Schwachstelle CVE-2015-0469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0469
Schwachstelle CVE-2015-0477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0477
Schwachstelle CVE-2015-0478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0478
Schwachstelle CVE-2015-0480 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0480
Schwachstelle CVE-2015-0488 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0488
Schwachstelle CVE-2015-0491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0491
Schwachstelle CVE-2015-2625 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2625
Schwachstelle CVE-2015-4734 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4734
Schwachstelle CVE-2015-4803 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4803
Schwachstelle CVE-2015-4805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4805
Schwachstelle CVE-2015-4806 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4806
Schwachstelle CVE-2015-4810 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4810
Schwachstelle CVE-2015-4835 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4835
Schwachstelle CVE-2015-4840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4840
Schwachstelle CVE-2015-4842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4842
Schwachstelle CVE-2015-4843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4843
Schwachstelle CVE-2015-4844 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4844
Schwachstelle CVE-2015-4860 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4860
Schwachstelle CVE-2015-4871 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4871
Schwachstelle CVE-2015-4872 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4872
Schwachstelle CVE-2015-4882 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4882
Schwachstelle CVE-2015-4883 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4883
Schwachstelle CVE-2015-4893 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4893
Schwachstelle CVE-2015-4902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4902
Schwachstelle CVE-2015-4903 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4903
Schwachstelle CVE-2015-4911 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4911
Schwachstelle CVE-2015-5006 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5006
SUSE Security Update SUSE-SU-2015:2166-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152166-1.html
SUSE Security Update SUSE-SU-2015:2168-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152168-1.html
SUSE Security Update SUSE-SU-2015:2182-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152182-1.html
SUSE Security Update SUSE-SU-2015:2192-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152192-1.html
SUSE Security Update SUSE-SU-2015:2216-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152216-1.html
SUSE Security Update SUSE-SU-2015:2168-2:
https://www.suse.com/support/update/announcement/2015/suse-su-20152168-2.html
SUSE Security Update SUSE-SU-2015:2268-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152268-1.html
SUSE Security Update SUSE-SU-2016:0113-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160113-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
