Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 20 (02.05.2017):
IBM informiert darüber, dass die als Teil des Oracle IBM Java SDK Updates
im Januar 2017 veröffentlichten Schwachstellen auch das IBM Runtime
Environment Java™ betreffen, welches in IBM Spectrum Protect (früher:
Tivoli Storage Manager) Operations Center und IBM Spectrum Protect
(früher: Tivoli Storage Manager) Client Management Service enthalten ist,
so dass diese Produkte in den unterstützten Versionen 6.4.0.000 –
6.4.2.500, 7.1.0.000 – 7.1.7.100 und 8.1.0.000 – 8.1.1.000 bzw. 7.1.0.000
– 7.1.7.000 und 8.1.0.000 – 8.1.1.000 ebenfalls verwundbar sind. Die
Schwachstelle CVE-2016-5597 wurde schon mit den Oracle IBM Java SDK
Updates im Oktober 2016 adressiert, während die Schwachstellen
CVE-2016-8328 und CVE-2017-3262 hier nicht genannt werden.
IBM stellt die IBM Spectrum Protect Operations Center Versionen 6.4.2.600,
7.1.7.200 und 8.1.1.100 sowie die IBM Spectrum Protect Client Management
Service Versionen 7.1.7.100 und 8.1.1.100 als Sicherheitsupdates für AIX,
Linux und Windows bereit und gibt Hinweise zur Installation.
Version 19 (08.03.2017):
Für die Red Hat Enterprise Linux Supplementary Produkte Desktop, HPC Node,
Server und Workstation in Version 6 und 7 stehen Sicherheitsupdates
bereit. Das Update für ‘java-1.8.0-ibm’ aktualisiert IBM Java SE 8 auf
Version 8 SR4 FP1. Dieses Sicherheitsupdate adressiert erneut die
Schwachstelle CVE-2016-2183. IBM Java SE Version 8 beinhaltet das IBM Java
Runtime Environment und das IBM Java Software Development Kit.
Version 18 (28.02.2017):
Für die Red Hat Enterprise Linux Supplementary Produkte Desktop, HPC Node,
Server und Workstation in Version 5, 6 und 7 stehen Sicherheitsupdates
bereit. Das Update für ‘java-1.6.0-ibm’ aktualisiert IBM Java SE 6 auf
Version 6 SR16-FP41, das Update für ‘java-1.7.0-ibm’ aktualisiert IBM Java
SE 7 auf Version 7 SR10-FP1 und das Update für ‘java-1.7.1-ibm’
aktualisiert IBM Java SE 7 auf Version 7R1 SR4-FP1. Die Sicherheitsupdates
beheben die referenzierten Schwachstellen mit Ausnahme von CVE-2016-8328,
CVE-2017-3260 und CVE-2017-3262, die teilweise nur Java SE 8 betreffen.
Das Sicherheitsupdate für ‘java-1.6.0-ibm’ adressiert darüber hinaus nicht
die Schwachstellen CVE-2016-5547 und CVE-2017-3289.
Version 17 (24.02.2017):
IBM informiert darüber, dass die mit dem Oracle January 2017 Critical
Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK,
Java Technology Edition, in den Versionen 6, 6R1, 7, 7R1 und 8 betreffen,
und stellt Version 6 Service Refresh 16 Fix Pack 41, Version 6R1 Service
Refresh 8 Fix Pack 41, Version 7 Service Refresh 10 Fix Pack 1, Version
7R1 Service Refresh 4 Fix Pack 1 sowie die Version 8 Service Refresh 4 Fix
Pack 1 als Sicherheitsupdates bereit.
Version 16 (20.02.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.1 stehen nun ebenfalls
Sicherheitsupdates für ‘java-1_7_0-openjdk’ auf OpenJDK 7u131 zur
Verfügung.
Version 15 (17.02.2017):
Für SUSE Linux Enterprise Desktop und Server in den Versionen 12 SP1 und
12 SP2 sowie für Server 12 LTSS, Server for SAP 12 und Server for
Raspberry Pi 12 SP2 stehen Sicherheitsupdates für ‘java-1_7_0-openjdk’ auf
OpenJDK 7u131 bereit.
Version 14 (16.02.2017):
Canonical stellt für die Distribution Ubuntu 12.04 LTS ein
Sicherheitsupdate für OpenJDK 6 zur Verfügung, um die entsprechenden
Schwachstellen zu beheben.
Version 13 (15.02.2017):
Für SUSE Linux Enterprise Server 12 SP1 und SP2 sowie SUSE Linux
Enterprise Software Development Kit 12 SP1 und SP2 stehen
Sicherheitsupdates für ‘java-1_8_0-ibm’ auf Version 8.0-4.0 bereit, um die
Schwachstellen zu beheben. Die Schwachstellen CVE-2016-5546,
CVE-2016-8328, CVE-2017-3260 und CVE-2017-3262 werden hier nicht erwähnt.
Version 12 (14.02.2017):
Oracle stellt für Oracle Linux 5 (i386, x86_64), Oracle Linux 6 (i386,
x86_64) und Oracle Linux 7 (x86_64) ‘java-1.7.0-openjdk’ als
Sicherheitsupdate zur Verfügung. In den Sicherheitsupdates werden die
Schwachstellen CVE-2016-2183, CVE-2016-5549, CVE-2016-8328, CVE-2017-3259,
CVE-2017-3260 und CVE-2017-3262 nicht referenziert.
Version 11 (13.02.2017):
Red Hat stellt für verschiedene Produktvarianten von Red Hat Enterprise
Linux 5, 6 und 7 Sicherheitsupdates für ‘java-1.7.0-openjdk’ zur
Verfügung. ‘java-1.7.0-openjdk’ beinhaltet das OpenJDK 7 Java Runtime
Environment und das OpenJDK 7 Java Software Development Kit.
Version 10 (09.02.2017):
Red Hat stellt für verschiedene Produktvarianten von Red Hat Enterprise
Linux 6 Supplementary und Red Hat Enterprise Linux 7 Supplementary
Sicherheitsupdates für ‘java-1.8.0-ibm’ zur Verfügung, mit denen IBM Java
SE 8 auf Version 8 SR4 aktualisiert wird. IBM Java SE Version 8 beinhaltet
das IBM Java Runtime Environment und das IBM Java Software Development
Kit.
Version 9 (09.02.2017):
Für die Distributionen Debian Jessie (stable, 8.7) und Ubuntu 14.04 LTS
stehen Sicherheitsupdates für OpenJDK 7 zur Verfügung. Beide
Sicherheitsupdates referenzieren die Schwachstellen CVE-2016-5549,
CVE-2016-8328, CVE-2017-3259 und CVE-2017-3262 nicht, von Debian wird
außerdem die Schwachstelle CVE-2016-2183 nicht aufgeführt und in dem
Canonical Update ist die Schwachstelle CVE-2017-3260 nicht enthalten.
Version 8 (03.02.2017):
Für openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen Sicherheitsupdates
für ‘java-1_8_0-openjdk’ auf Version jdk8u121 (icedtea 3.3.0) bereit,
durch welche die mit Oracle Critical Patch Update of January 2017
adressierten Schwachstellen behoben werden.
Version 7 (02.02.2017):
Für Fedora 24 und 25 stehen aktualisierte Pakete für
‘java-1.8.0-openjdk-aarch32’ im Status ‘testing’ bereit, um die
entsprechenden Schwachstellen zu beheben.
Version 6 (01.02.2017):
Für SUSE Linux Enterprise Server 12 SP1 und SP2, für SUSE Linux Enterprise
Server for Raspberry Pi 12 SP2 sowie für SUSE Linux Enterprise Desktop 12
SP1 und SP2 stehen Sicherheitsupdates für ‘java-1_8_0-openjdk’ bereit.
Version 5 (26.01.2017):
Für die Distributionen Ubuntu 16.10 und Ubuntu 16.04 LTS stehen
Sicherheitsupdates für OpenJDK 8 bereit.
Version 4 (23.01.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun
ebenfalls Sicherheitsupdates für ‘java-1.8.0-openjdk’ zur Verfügung.
Version 3 (20.01.2017):
Für die Red Hat Enterprise Linux-Produkte Desktop 6 und 7, HPC Node 6 und
7, Server 6, 7 und 7.3 TUS sowie Workstation 6 und 7 stehen
Sicherheitsupdates für ‘java-1.8.0-openjdk’ bereit.
Version 2 (20.01.2017):
Für Oracle Java for Red Hat Enterprise Linux 6 und Oracle Java for Red Hat
Enterprise Linux 7 stehen Sicherheitsupdates für Oracle Java SE 8 auf
Version 8 Update 121 zur Verfügung, um die relevanten Schwachstellen zu
beheben. Für diese und zusätzlich Oracle Java for RHEL 5 Server und Oracle
Java for RHEL Desktop 5 Client) werden zudem Oracle Java SE 7 auf Version
7 Update 131 und Oracle Java SE 6 auf Version 6 Update 141 aktualisiert.
Oracle Java SE beinhaltet jeweils das Oracle Java Runtime Environment und
das Oracle Java Software Development Kit.
Version 1 (18.01.2017):
Neues Advisory
Betroffene Software:
IBM Java 1.6.0
IBM Java 1.7.0
IBM Java 1.7.1
IBM Java 1.8.0
IBM Java SDK <= 6.0.16.35 Technology
IBM Java SDK <= 6.1.8.35 Technology
IBM Java SDK <= 7.0.9.60 Technology
IBM Java SDK <= 7.1.3.60 Technology
IBM Java SDK <= 8.0.3.22 Technology
IBM Tivoli Storage Manager < 6.4.2.600
IBM Tivoli Storage Manager < 7.1.7.100
IBM Tivoli Storage Manager < 7.1.7.200
IBM Tivoli Storage Manager < 8.1.1.100
SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Software Development Kit 12 SP2
Oracle Java SE <= 6u131
Oracle Java SE <= 7u121
Oracle Java SE <= 8u112
Oracle Java SE Embedded <= 8u111
Oracle JRockit <= R28.3.12
OpenJDK 1.6.0
OpenJDK 1.7.0
OpenJDK 1.8.0
Betroffene Plattformen:
Apple Mac OS X
macOS Sierra
Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Debian Linux 8.7 Jessie
GNU/Linux
HP-UX
IBM AIX
Microsoft Windows
openSUSE Leap 42.1
openSUSE Leap 42.2
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
Oracle Linux 5
Oracle Linux 6
Oracle Linux 7
Oracle Solaris
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Desktop Supplementary 5
Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Enterprise Linux Desktop Supplementary 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux HPC Node Supplementary 6
Red Hat Enterprise Linux HPC Node Supplementary 7
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Server Supplementary 5
Red Hat Enterprise Linux Server Supplementary 6
Red Hat Enterprise Linux Server Supplementary 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Enterprise Linux Workstation Supplementary 6
Red Hat Enterprise Linux Workstation Supplementary 7
Red Hat Fedora 24
Red Hat Fedora 25
Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE,
Java SE Embedded und JRockit ermöglichen einem entfernten, nicht
authentifizierten Angreifer die komplette Systemübernahme, die Manipulation
von Dateien, das Ausspähen von Informationen und verschiedene
Denial-of-Service-Angriffe. Die Schwachstellen betreffen meist Client-, aber
auch Server-Installationen, die auf die Java Sandbox als Sicherheit
zurückgreifen und können zum Teil über Programmschnittstellen (APIs) der
betroffenen Subkomponenten ausgenutzt werden. Zwei der Schwachstellen
betreffen die Installation der Java Mission Control. Für die erfolgreiche
Ausnutzung der Schwachstellen ist teilweise eine nicht näher spezifizierte
Benutzerinteraktion einer anderen Person als der des Angreifers
erforderlich.
Die Schwachstelle CVE-2016-2183 in SSL/TLS betrifft Java SE und Java SE
Embedded und ermöglicht einem entfernten, nicht authentifizierten Angreifer
das Umgehen von Sicherheitsvorkehrungen.
Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des
Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development
Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen
aktuelle Versionen von Java SE 8 zum Download zur Verfügung, aktuelle
Versionen von Java SE 6 nach April 2013 und Java SE 7 nach April 2015 sind
nur noch auf Anfrage verfügbar. Benutzern von Microsoft Windows und Mac OS X
bzw. macOS Sierra werden die entsprechenden Sicherheitsupdates über die
automatischen Systemupdates zur Verfügung gestellt.
Oracle weist darüber hinaus darauf hin, dass beginnend mit dem kritischen
Patch Update im April 2017 Archivdateien vom Typ 'JAR', die mit MD5 signiert
sind, vom Java Runtime Environment (JRE) als unsigniert angesehen werden und
dass Oracle JRockit JVM mittlerweile in die Oracle Fusion Middleware
integriert ist.
Patch:
Oracle Critical Patch Update Advisory - Januar 2017 - CPUJan2017 - Java SE
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html#AppendixJAVA
Patch:
Red Hat Security Advisory RHSA-2017:0175
http://rhn.redhat.com/errata/RHSA-2017-0175.html
Patch:
Red Hat Security Advisory RHSA-2017:0176
http://rhn.redhat.com/errata/RHSA-2017-0176.html
Patch:
Red Hat Security Advisory RHSA-2017:0177
http://rhn.redhat.com/errata/RHSA-2017-0177.html
Patch:
Red Hat Security Advisory RHSA-2017:0180-1
http://rhn.redhat.com/errata/RHSA-2017-0180.html
Patch:
Oracle Linux Security Advisory ELSA-2017-0180
https://linux.oracle.com/errata/ELSA-2017-0180.html
Patch:
Ubuntu Security Notice USN-3179-1
http://www.ubuntu.com/usn/usn-3179-1/
Patch:
Fedora Security Update FEDORA-2017-4cb58f0bda (Fedora 24,
java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc24)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4cb58f0bda
Patch:
Fedora Security Update FEDORA-2017-c1252ccd41 (Fedora 25,
java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c1252ccd41
Patch:
SUSE Security Update SUSE-SU-2017:0346-1
http://lists.suse.com/pipermail/sle-security-updates/2017-January/002613.html
Patch:
openSUSE Security Update openSUSE-SU-2017:0374-1
http://lists.opensuse.org/opensuse-updates/2017-02/msg00017.html
Patch:
Debian Security Advisory DSA-3782-1
https://www.debian.org/security/2017/dsa-3782
Patch:
Red Hat Security Advisory RHSA-2017:0263
http://rhn.redhat.com/errata/RHSA-2017-0263.html
Patch:
Ubuntu Security Notice USN-3194-1
http://www.ubuntu.com/usn/usn-3194-1/
Patch:
Red Hat Security Advisory RHSA-2017:0269
http://rhn.redhat.com/errata/RHSA-2017-0269.html
Patch:
Oracle Linux Security Advisory ELSA-2017-0269
https://linux.oracle.com/errata/ELSA-2017-0269.html
Patch:
SUSE Security Update SUSE-SU-2017:0460-1
http://lists.suse.com/pipermail/sle-security-updates/2017-February/002641.html
Patch:
Ubuntu Security Notice USN-3198-1
http://www.ubuntu.com/usn/usn-3198-1/
Patch:
SUSE Security Update SUSE-SU-2017:0490-1
http://lists.suse.com/pipermail/sle-security-updates/2017-February/002651.html
Patch:
openSUSE Security Update openSUSE-SU-2017:0513-1
http://lists.opensuse.org/opensuse-updates/2017-02/msg00092.html
Patch:
IBM Security Bulletin swg21997194
https://www.ibm.com/support/docview.wss?uid=swg21997194
Patch:
Red Hat Security Advisory RHSA-2017:0336-1
http://rhn.redhat.com/errata/RHSA-2017-0336.html
Patch:
Red Hat Security Advisory RHSA-2017:0337-1
http://rhn.redhat.com/errata/RHSA-2017-0337.html
Patch:
Red Hat Security Advisory RHSA-2017:0338-1
http://rhn.redhat.com/errata/RHSA-2017-0338.html
Patch:
Red Hat Security Advisory RHSA-2017:0462
http://rhn.redhat.com/errata/RHSA-2017-0462.html
Patch:
IBM Security Bulletin 2002479
http://www.ibm.com/support/docview.wss?uid=swg22002479
CVE-2017-3289: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung des Systems
Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Hotspot) ermöglicht einem entfernten,
nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die
Übernahme von Java SE sowie Java SE Embedded und in der Folge die komplette
Kompromittierung des Systems. Zur Ausnutzung der Schwachstelle ist die
Interaktion eines Benutzers notwendig.
CVE-2017-3272: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung des Systems
Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Übernahme von Java SE sowie Java SE Embedded und in
der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers notwendig.
CVE-2017-3262: Schwachstelle in Java SE ermöglicht Ausspähen von
Informationen
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Java Mission Control) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff
auf einige der von Java SE erreichbaren Daten.
CVE-2017-3260: Schwachstelle in Java SE ermöglicht komplette
Kompromittierung des Systems
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente AWT) ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Netzwerkprotokolle die Übernahme von Java SE und
in der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers notwendig.
CVE-2017-3259: Schwachstelle in Java SE ermöglicht Ausspähen von
Informationen
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Deployment) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff
auf einige der von Java SE erreichbaren Daten.
CVE-2017-3253: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente 2D) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Kompromittierung von Java SE, Java SE Embedded und
JRockit durch die wiederholte Erzeugung eines Denial-of-Service-Zustands.
CVE-2017-3252: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente JAAS) ermöglicht einem
entfernten, einfach authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation aller von Java SE, Java SE Embedded und
JRockit erreichbaren Daten. Zur Ausnutzung der Schwachstelle ist die
Interaktion eines Benutzers notwendig.
CVE-2017-3241: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Kompromittierung des Systems
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente RMI) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Übernahme von Java SE, Java SE Embedded sowie JRockit
und in der Folge die komplette Kompromittierung des Systems.
CVE-2017-3231 CVE-2017-3261: Schwachstellen in Java SE und Java SE Embedded
ermöglichen Ausspähen von Informationen
Zwei nicht näher spezifizierte, leicht auszunutzende Schwachstellen in Java
SE und Java SE Embedded (Subkomponente Networking) ermöglichen einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den Zugriff auf einige der von Java SE und Java SE
Embedded erreichbaren Daten. Zur erfolgreichen Ausnutzung ist die
Interaktion eines Benutzers erforderlich.
CVE-2016-8328: Schwachstelle in Java SE ermöglicht Manipulation von Dateien
Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java
SE (Subkomponente Java Mission Control) ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Netzwerkprotokolle die
Manipulation einiger der von Java SE erreichbaren Daten.
CVE-2016-5552: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien
Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Networking) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation einiger der von Java SE, Java SE
Embedded und JRockit erreichbaren Daten. Im Kontext von Android Geräten
erlaubt diese Schwachstelle das Weiterleiten eines Anwenders beim Browsen
auf eine andere Webseite ohne dessen explizite Zustimmung.
CVE-2016-5548 CVE-2016-5549: Schwachstellen in Java SE und Java SE Embedded
ermöglichen Ausspähen von Informationen
Zwei nicht näher spezifizierte, einfach auszunutzende Schwachstellen in Java
SE und Java SE Embedded (Subkomponente Libraries) ermöglichen einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den unautorisierten Zugriff auf kritische Daten oder den
Zugriff auf alle von Java SE und Java SE Embedded erreichbaren Daten. Zur
Ausnutzung der Schwachstellen ist die Interaktion eines Benutzers notwendig.
CVE-2016-5547: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Kompromittierung von Java SE, Java SE Embedded und
JRockit durch das Bewirken eines partiellen Denial-of-Service-Zustands.
CVE-2016-5546: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Dateien
Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java
SE, Java SE Embedded und JRockit (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Manipulation aller von Java SE, Java SE Embedded und
JRockit erreichbaren Daten.
CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen
HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL
und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter
anderem den ‘Triple-DES’-Kryptoalgorithmus nutzen, der gegen den sogenannten
Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die
Schwachstelle ist aufgrund der Art und Weise wie Browser
Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil
diese zwischen einem Webdienst und dem Browser wiederholt hin und her
geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend
Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise
ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder
diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus
diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender
Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den
Inhalt des Session Cookies zu enthüllen. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und
infolgedessen Informationen ausspähen.
Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0088/
Schwachstelle CVE-2016-2183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183
Oracle Critical Patch Update Advisory – Januar 2017 – CPUJan2017 – Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html#AppendixJAVA
Oracle CPUJan2017 Risk Matrix Textversion – Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujan2017verbose-2881728.html#JAVA
Schwachstelle CVE-2016-5546 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5546
Schwachstelle CVE-2016-5547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5547
Schwachstelle CVE-2016-5548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5548
Schwachstelle CVE-2016-5549 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5549
Schwachstelle CVE-2016-5552 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5552
Schwachstelle CVE-2016-8328 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8328
Schwachstelle CVE-2017-3231 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3231
Schwachstelle CVE-2017-3241 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3241
Schwachstelle CVE-2017-3252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3252
Schwachstelle CVE-2017-3253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3253
Schwachstelle CVE-2017-3259 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3259
Schwachstelle CVE-2017-3260 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3260
Schwachstelle CVE-2017-3261 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3261
Schwachstelle CVE-2017-3262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3262
Schwachstelle CVE-2017-3272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3272
Schwachstelle CVE-2017-3289 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3289
Red Hat Security Advisory RHSA-2017:0175:
http://rhn.redhat.com/errata/RHSA-2017-0175.html
Red Hat Security Advisory RHSA-2017:0176:
http://rhn.redhat.com/errata/RHSA-2017-0176.html
Red Hat Security Advisory RHSA-2017:0177:
http://rhn.redhat.com/errata/RHSA-2017-0177.html
Red Hat Security Advisory RHSA-2017:0180-1:
http://rhn.redhat.com/errata/RHSA-2017-0180.html
Oracle Linux Security Advisory ELSA-2017-0180:
https://linux.oracle.com/errata/ELSA-2017-0180.html
Ubuntu Security Notice USN-3179-1:
http://www.ubuntu.com/usn/usn-3179-1/
Fedora Security Update FEDORA-2017-4cb58f0bda (Fedora 24,
java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4cb58f0bda
Fedora Security Update FEDORA-2017-c1252ccd41 (Fedora 25,
java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c1252ccd41
SUSE Security Update SUSE-SU-2017:0346-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-January/002613.html
openSUSE Security Update openSUSE-SU-2017:0374-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00017.html
Debian Security Advisory DSA-3782-1:
https://www.debian.org/security/2017/dsa-3782
Red Hat Security Advisory RHSA-2017:0263:
http://rhn.redhat.com/errata/RHSA-2017-0263.html
Ubuntu Security Notice USN-3194-1:
http://www.ubuntu.com/usn/usn-3194-1/
Red Hat Security Advisory RHSA-2017:0269:
http://rhn.redhat.com/errata/RHSA-2017-0269.html
Oracle Linux Security Advisory ELSA-2017-0269:
https://linux.oracle.com/errata/ELSA-2017-0269.html
SUSE Security Update SUSE-SU-2017:0460-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-February/002641.html
Ubuntu Security Notice USN-3198-1:
http://www.ubuntu.com/usn/usn-3198-1/
SUSE Security Update SUSE-SU-2017:0490-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-February/002651.html
openSUSE Security Update openSUSE-SU-2017:0513-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00092.html
IBM Security Bulletin swg21997194:
https://www.ibm.com/support/docview.wss?uid=swg21997194
IBM Security Bulletin: Multiple vulnerabilities may affect IBM® SDK, Java™
Technology Edition:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilities-may-affect-ibm-sdk-java-technology-edition-3/
Red Hat Security Advisory RHSA-2017:0336-1:
http://rhn.redhat.com/errata/RHSA-2017-0336.html
Red Hat Security Advisory RHSA-2017:0337-1:
http://rhn.redhat.com/errata/RHSA-2017-0337.html
Red Hat Security Advisory RHSA-2017:0338-1:
http://rhn.redhat.com/errata/RHSA-2017-0338.html
Red Hat Security Advisory RHSA-2017:0462:
http://rhn.redhat.com/errata/RHSA-2017-0462.html
IBM Security Bulletin 2002479:
http://www.ibm.com/support/docview.wss?uid=swg22002479
IBM PSIRT Blog: Multiple vulnerabilites in IBM Java Runtime affect IBM
Spectrum Protect (Tivoli Storage Manager) Operations Center and IBM Spectrum
Protect (Tivoli Storage Manager) Client Management Service:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilites-in-ibm-java-runtime-affect-ibm-spectrum-protect-tivoli-storage-manager-operations-center-and-ibm-spectrum-protect-tivoli-storage-manager-client-manag/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
