Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (26.01.2017):
Für die Distributionen Ubuntu 16.10 und Ubuntu 16.04 LTS stehen
Sicherheitsupdates für OpenJDK 8 bereit.
Version 4 (23.01.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun
ebenfalls Sicherheitsupdates für ‘java-1.8.0-openjdk’ zur Verfügung.
Version 3 (20.01.2017):
Für die Red Hat Enterprise Linux-Produkte Desktop 6 und 7, HPC Node 6 und
7, Server 6, 7 und 7.3 TUS sowie Workstation 6 und 7 stehen
Sicherheitsupdates für ‘java-1.8.0-openjdk’ bereit.
Version 2 (20.01.2017):
Für Oracle Java for Red Hat Enterprise Linux 6 und Oracle Java for Red Hat
Enterprise Linux 7 stehen Sicherheitsupdates für Oracle Java SE 8 auf
Version 8 Update 121 zur Verfügung, um die relevanten Schwachstellen zu
beheben. Für diese und zusätzlich Oracle Java for RHEL 5 Server und Oracle
Java for RHEL Desktop 5 Client) werden zudem Oracle Java SE 7 auf Version
7 Update 131 und Oracle Java SE 6 auf Version 6 Update 141 aktualisiert.
Oracle Java SE beinhaltet jeweils das Oracle Java Runtime Environment und
das Oracle Java Software Development Kit.
Version 1 (18.01.2017):
Neues Advisory
Betroffene Software:
Oracle Java SE <= 6u131 Oracle Java SE <= 7u121 Oracle Java SE <= 8u112 Oracle Java SE Embedded <= 8u111 Oracle JRockit <= R28.3.12 OpenJDK 1.8.0 Betroffene Plattformen: Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 GNU/Linux Microsoft Windows Oracle Linux 6 Oracle Linux 7 Oracle Solaris Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das Ausspähen von Informationen und verschiedene Denial-of-Service-Angriffe. Die Schwachstellen betreffen meist Client-, aber auch Server-Installationen, die auf die Java Sandbox als Sicherheit zurückgreifen und können zum Teil über Programmschnittstellen (APIs) der betroffenen Subkomponenten ausgenutzt werden. Zwei der Schwachstellen betreffen die Installation der Java Mission Control. Für die erfolgreiche Ausnutzung der Schwachstellen ist teilweise eine nicht näher spezifizierte Benutzerinteraktion einer anderen Person als der des Angreifers erforderlich. Die Schwachstelle CVE-2016-2183 in SSL/TLS betrifft Java SE und Java SE Embedded und ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 8 zum Download zur Verfügung, aktuelle Versionen von Java SE 6 nach April 2013 und Java SE 7 nach April 2015 sind nur noch auf Anfrage verfügbar. Benutzern von Microsoft Windows und Mac OS X bzw. macOS Sierra werden die entsprechenden Sicherheitsupdates über die automatischen Systemupdates zur Verfügung gestellt. Oracle weist darüber hinaus darauf hin, dass beginnend mit dem kritischen Patch Update im April 2017 Archivdateien vom Typ 'JAR', die mit MD5 signiert sind, vom Java Runtime Environment (JRE) als unsigniert angesehen werden und dass Oracle JRockit JVM mittlerweile in die Oracle Fusion Middleware integriert ist. Patch: Oracle Critical Patch Update Advisory - Januar 2017 - CPUJan2017 - Java SE http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html#AppendixJAVA
Patch:
Red Hat Security Advisory RHSA-2017:0175
http://rhn.redhat.com/errata/RHSA-2017-0175.html
Patch:
Red Hat Security Advisory RHSA-2017:0176
http://rhn.redhat.com/errata/RHSA-2017-0176.html
Patch:
Red Hat Security Advisory RHSA-2017:0177
http://rhn.redhat.com/errata/RHSA-2017-0177.html
Patch:
Red Hat Security Advisory RHSA-2017:0180-1
http://rhn.redhat.com/errata/RHSA-2017-0180.html
Patch:
Oracle Linux Security Advisory ELSA-2017-0180
https://linux.oracle.com/errata/ELSA-2017-0180.html
Patch:
Ubuntu Security Notice USN-3179-1
http://www.ubuntu.com/usn/usn-3179-1/
CVE-2017-3289: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung des Systems
Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Hotspot) ermöglicht einem entfernten,
nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die
Übernahme von Java SE sowie Java SE Embedded und in der Folge die komplette
Kompromittierung des Systems. Zur Ausnutzung der Schwachstelle ist die
Interaktion eines Benutzers notwendig.
CVE-2017-3272: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung des Systems
Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Übernahme von Java SE sowie Java SE Embedded und in
der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers notwendig.
CVE-2017-3262: Schwachstelle in Java SE ermöglicht Ausspähen von
Informationen
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Java Mission Control) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff
auf einige der von Java SE erreichbaren Daten.
CVE-2017-3260: Schwachstelle in Java SE ermöglicht komplette
Kompromittierung des Systems
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente AWT) ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Netzwerkprotokolle die Übernahme von Java SE und
in der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers notwendig.
CVE-2017-3259: Schwachstelle in Java SE ermöglicht Ausspähen von
Informationen
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Deployment) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff
auf einige der von Java SE erreichbaren Daten.
CVE-2017-3253: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente 2D) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Kompromittierung von Java SE, Java SE Embedded und
JRockit durch die wiederholte Erzeugung eines Denial-of-Service-Zustands.
CVE-2017-3252: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente JAAS) ermöglicht einem
entfernten, einfach authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation aller von Java SE, Java SE Embedded und
JRockit erreichbaren Daten. Zur Ausnutzung der Schwachstelle ist die
Interaktion eines Benutzers notwendig.
CVE-2017-3241: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Kompromittierung des Systems
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente RMI) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Übernahme von Java SE, Java SE Embedded sowie JRockit
und in der Folge die komplette Kompromittierung des Systems.
CVE-2017-3231 CVE-2017-3261: Schwachstellen in Java SE und Java SE Embedded
ermöglichen Ausspähen von Informationen
Zwei nicht näher spezifizierte, leicht auszunutzende Schwachstellen in Java
SE und Java SE Embedded (Subkomponente Networking) ermöglichen einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den Zugriff auf einige der von Java SE und Java SE
Embedded erreichbaren Daten. Zur erfolgreichen Ausnutzung ist die
Interaktion eines Benutzers erforderlich.
CVE-2016-8328: Schwachstelle in Java SE ermöglicht Manipulation von Dateien
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Java Mission Control) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle die
Manipulation einiger der von Java SE erreichbaren Daten.
CVE-2016-5552: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien
Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Networking) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation einiger der von Java SE, Java SE
Embedded und JRockit erreichbaren Daten.
CVE-2016-5548 CVE-2016-5549: Schwachstellen in Java SE und Java SE Embedded
ermöglichen Ausspähen von Informationen
Zwei nicht näher spezifizierte, einfach auszunutzende Schwachstellen in Java
SE und Java SE Embedded (Subkomponente Libraries) ermöglichen einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den unautorisierten Zugriff auf kritische Daten oder den
Zugriff auf alle von Java SE und Java SE Embedded erreichbaren Daten. Zur
Ausnutzung der Schwachstellen ist die Interaktion eines Benutzers notwendig.
CVE-2016-5547: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Kompromittierung von Java SE, Java SE Embedded und
JRockit durch das Bewirken eines partiellen Denial-of-Service-Zustands.
CVE-2016-5546: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien
Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation aller von Java SE, Java SE Embedded und
JRockit erreichbaren Daten.
CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen
HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL
und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter
anderem den ‘Triple-DES’-Kryptoalgorithmus nutzen, der gegen den sogenannten
Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die
Schwachstelle ist aufgrund der Art und Weise wie Browser
Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil
diese zwischen einem Webdienst und dem Browser wiederholt hin und her
geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend
Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise
ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder
diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus
diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender
Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den
Inhalt des Session Cookies zu enthüllen. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und
infolgedessen Informationen ausspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0088/
Schwachstelle CVE-2016-2183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183
Oracle Critical Patch Update Advisory – Januar 2017 – CPUJan2017 – Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html#AppendixJAVA
Oracle CPUJan2017 Risk Matrix Textversion – Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujan2017verbose-2881728.html#JAVA
Schwachstelle CVE-2016-5546 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5546
Schwachstelle CVE-2016-5547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5547
Schwachstelle CVE-2016-5548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5548
Schwachstelle CVE-2016-5549 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5549
Schwachstelle CVE-2016-5552 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5552
Schwachstelle CVE-2016-8328 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8328
Schwachstelle CVE-2017-3231 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3231
Schwachstelle CVE-2017-3241 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3241
Schwachstelle CVE-2017-3252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3252
Schwachstelle CVE-2017-3253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3253
Schwachstelle CVE-2017-3259 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3259
Schwachstelle CVE-2017-3260 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3260
Schwachstelle CVE-2017-3261 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3261
Schwachstelle CVE-2017-3262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3262
Schwachstelle CVE-2017-3272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3272
Schwachstelle CVE-2017-3289 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3289
Red Hat Security Advisory RHSA-2017:0175:
http://rhn.redhat.com/errata/RHSA-2017-0175.html
Red Hat Security Advisory RHSA-2017:0176:
http://rhn.redhat.com/errata/RHSA-2017-0176.html
Red Hat Security Advisory RHSA-2017:0177:
http://rhn.redhat.com/errata/RHSA-2017-0177.html
Red Hat Security Advisory RHSA-2017:0180-1:
http://rhn.redhat.com/errata/RHSA-2017-0180.html
Oracle Linux Security Advisory ELSA-2017-0180:
https://linux.oracle.com/errata/ELSA-2017-0180.html
Ubuntu Security Notice USN-3179-1:
http://www.ubuntu.com/usn/usn-3179-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
