UPDATE: DFN-CERT-2017-0676 Oracle Java SE, Java SE Embedded, JRockit, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Linux][Debian][Fedora][RedHat][SuSE][Unix][Apple][Solaris][Windows][Netzwerk]

UPDATE: DFN-CERT-2017-0676 Oracle Java SE, Java SE Embedded, JRockit, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Linux][Debian][Fedora][RedHat][SuSE][Unix][Apple][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 13 (29.05.2017):
Für openSUSE Leap 42.2 steht ein Sicherheitsupdate für
‘java-1_7_0-openjdk’ auf Version 2.6.10 (OpenJDK 7u141) zur Behebung der
Schwachstellen bereit. Zusätzlich zu den genannten Schwachstellen wird die
von Oracle bereits mit dem Oracle Critical Patch Update für Java SE im
Januar behobene Schwachstelle CVE-2017-3289 adressiert.
Version 12 (26.05.2017):
Für die SUSE Linux Enterprise Produkte Desktop 12 SP1 und SP2, Server 12
SP1 und SP2 sowie SUSE Linux Enterprise Server for Raspberry Pi 12 SP2
stehen Sicherheitsupdates für ‘java-1_7_0-openjdk’ auf Version 2.6.10
(OpenJDK 7u141) zur Behebung der Schwachstellen bereit. Zusätzlich zu den
genannten Schwachstellen wird die kritische Schwachstelle CVE-2017-3289
adressiert, die von Oracle bereits mit dem Oracle Critical Patch Update
für Java SE im Januar behoben wurde. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die
Übernahme von Java SE sowie Java SE Embedded und in der Folge die
komplette Kompromittierung des Systems.
Version 11 (22.05.2017):
Debian stellt für die stabile Distribution Jessie ein Sicherheitsupdate
für ‘openjdk-7’ bereit, um die aufgeführten Schwachstellen, ausgenommen
CVE-2017-3512 und CVE-2017-3514, zu beheben.
Version 10 (19.05.2017):
Canonical informiert darüber, dass das letzte Sicherheitsupdate für
OpenJDK 7 auf Ubuntu Linux 14.04 LTS eine Regression im Kontext von
TLS-Handshakes eingeführt hat. Es steht ein neues Sicherheitsupdate zur
Verfügung, um diesen Fehler zu beheben.
Version 9 (16.05.2017):
Für die Distribution Ubuntu 14.04 LTS stehen Sicherheitsupdates für
OpenJDK 7 zur Behebung der Schwachstellen bereit.
Version 8 (12.05.2017):
Canonical stellt für die Distributionen Ubuntu Linux 16.04 LTS, 16.10 und
17.04 Sicherheitsupdates für ‘openjdk-8’ bereit, um die entsprechenden
Schwachstellen zu beheben.
Version 7 (09.05.2017):
Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, HPC
Node, Server und Workstation sowie für Red Hat Enterprise Linux Server TUS
v. 7.3 stehen Sicherheitsupdates für OpenJDK 1.7.0 bereit, durch welche
die Schwachstellen CVE-2017-3509, CVE-2017-3511, CVE-2017-3526,
CVE-2017-3533, CVE-2017-3539 und CVE-2017-3544 behoben werden.
Version 6 (02.05.2017):
Für Fedora 24, 25 und 26 steht das OpenJDK 1.8.0 Security Release u131 nun
auch als Sicherheitsupdate für 32-Bit-ARM Architekturen (AArch32) im
Status ‘testing’ bereit.
Version 5 (25.04.2017):
Für Fedora 24, 25 und 26 steht das OpenJDK 1.8.0 Security Release u131 als
Sicherheitsupdate im Status ‘testing’ (Fedora 25) beziehungsweise
‘pending’ (Fedora 24, Fedora 26) bereit.
Version 4 (24.04.2017):
Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, HPC
Node, Server und Workstation stehen Sicherheitsupdates in Form
aktualisierter Pakete von ‘java-1.6.0-sun’, ‘java-1.7.0-oracle’ und
java-1.8.0-oracle’ bereit, mit denen Oracle Java SE 6 auf Version 6 Update
151, Oracle Java SE 7 auf Version 7 Update 141 und Oracle Java SE 8 auf
Version 8 Update 131 aktualisiert werden. Oracle Java SE beinhaltet
jeweils Oracle Java Runtime Environment und das Oracle Java Software
Development Kit. Mit den Sicherheitsupdates werden die Schwachstellen
CVE-2017-3509, CVE-2017-3511 (nicht relevant für Oracle Java SE 6),
CVE-2017-3526, CVE-2017-3533, CVE-2017-3539 und CVE-2017-3544 behoben.
Version 3 (21.04.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun
ebenfalls Sicherheitsupdates für OpenJDK 1.8.0 bereit, um die
Schwachstellen CVE-2017-3509, CVE-2017-3511, CVE-2017-3526, CVE-2017-3533,
CVE-2017-3539 und CVE-2017-3544 zu beheben.
Version 2 (20.04.2017):
Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, HPC
Node, Server und Workstation sowie für Red Hat Enterprise Linux Server TUS
v. 7.3 stehen Sicherheitsupdates für OpenJDK 1.8.0 bereit. Mittels der
Sicherheitsupdates werden die Schwachstellen CVE-2017-3509, CVE-2017-3511,
CVE-2017-3526, CVE-2017-3533, CVE-2017-3539 und CVE-2017-3544 behoben.
Version 1 (19.04.2017):
Neues Advisory

Betroffene Software:

Oracle Java SE 6u141
Oracle Java SE 7u131
Oracle Java SE 8u121
Oracle Java SE Embedded 8u121
Oracle JRockit R28.3.13
OpenJDK 1.7.0
OpenJDK 1.8.0

Betroffene Plattformen:

Apple Mac OS X
macOS Sierra
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Canonical Ubuntu Linux 17.04
Debian Linux 8.8 Jessie
GNU/Linux
HP-UX
Microsoft Windows
openSUSE Leap 42.2
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
Oracle Linux 6
Oracle Linux 7
Oracle Solaris
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26

Mehrere schwer auszunutzende Schwachstellen in verschiedenen Subkomponenten
von Oracle Java SE 6u141, 7u131 und 8u121, Java SE Embedded 8u121 sowie
JRockit R28.3.13 ermöglichen einem entfernten, nicht authentisierten
Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das
Ausspähen von Informationen und einen Denial-of-Service-Angriff. Eine
Schwachstelle ermöglicht auch einem lokalen, nicht authentisierten Angreifer
die komplette Kompromittierung eines Systems. Die Schwachstellen betreffen
meist Client-, aber auch Server-Installationen. Für die erfolgreiche
Ausnutzung der Schwachstellen ist teilweise eine nicht näher spezifizierte
Interaktion einer anderen Person als der des Angreifers erforderlich.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des
Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development
Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es steht eine
aktuelle Versionen von Java SE 8 (Version 8u131) zum Download zur Verfügung.
Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015
und JRockit sind nur noch auf Anfrage verfügbar.

Oracle weist darüber hinaus darauf hin, dass beginnend mit diesem kritischen
Patch Update Archivdateien vom Typ ‘JAR’, die mit MD5 signiert sind, vom
Java Runtime Environment (JRE) als unsigniert angesehen werden und stellt
Informationen zu zukünftigen Plänen in diesem Kontext als ‘Cryptographic
Roadmap’ zur Verfügung.

Patch:

Download von Java Updates

http://www.oracle.com/technetwork/java/javase/downloads/index.html

Patch:

Oracle Critical Patch Update Advisory – April 2017 – Oracle Java SE

http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html#AppendixJAVA

Patch:

Red Hat Security Advisory RHSA-2017:1108

http://rhn.redhat.com/errata/RHSA-2017-1108.html

Patch:

Red Hat Security Advisory RHSA-2017:1109

http://rhn.redhat.com/errata/RHSA-2017-1109.html

Patch:

Oracle Linux Security Advisory ELSA-2017-1108

https://linux.oracle.com/errata/ELSA-2017-1108.html

Patch:

Oracle Linux Security Advisory ELSA-2017-1109

https://linux.oracle.com/errata/ELSA-2017-1109.html

Patch:

Fedora Security Update FEDORA-2017-25358a23ad (Fedora 25,
java-1.8.0-openjdk-1.8.0.131-1.b12)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-25358a23ad

Patch:

Fedora Security Update FEDORA-2017-609b45150e (Fedora 26,
java-1.8.0-openjdk-1.8.0.131-1.b12)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-609b45150e

Patch:

Fedora Security Update FEDORA-2017-9b18f02810 (Fedora 24,
java-1.8.0-openjdk-1.8.0.131-1.b12)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9b18f02810

Patch:

Red Hat Security Advisory RHSA-2017:1117

http://rhn.redhat.com/errata/RHSA-2017-1117.html

Patch:

Red Hat Security Advisory RHSA-2017:1118

http://rhn.redhat.com/errata/RHSA-2017-1118.html

Patch:

Red Hat Security Advisory RHSA-2017:1119

http://rhn.redhat.com/errata/RHSA-2017-1119.html

Patch:

Fedora Security Update FEDORA-2017-9fbcf033f8
(java-1.8.0-openjdk-aarch32-1.8.0.131-1.170420.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9fbcf033f8

Patch:

Fedora Security Update FEDORA-2017-a6a053fc05
(java-1.8.0-openjdk-aarch32-1.8.0.131-1.170420.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a6a053fc05

Patch:

Fedora Security Update FEDORA-2017-bafc94f58f
(java-1.8.0-openjdk-aarch32-1.8.0.131-1.170420.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-bafc94f58f

Patch:

Red Hat Security Advisory RHSA-2017:1204

http://rhn.redhat.com/errata/RHSA-2017-1204.html

Patch:

Ubuntu Security Notice USN-3275-1

http://www.ubuntu.com/usn/usn-3275-1/

Patch:

Ubuntu Security Notice USN-3275-2

http://www.ubuntu.com/usn/usn-3275-2/

Patch:

Ubuntu Security Notice USN-3275-3

http://www.ubuntu.com/usn/usn-3275-3/

Patch:

Debian Security Advisory DSA-3858-1

https://www.debian.org/security/2017/dsa-3858

Patch:

SUSE Security Update SUSE-SU-2017:1400-1

http://lists.suse.com/pipermail/sle-security-updates/2017-May/002920.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1429-1

http://lists.opensuse.org/opensuse-updates/2017-05/msg00097.html

CVE-2017-3539: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Manipulation von Daten

In der Subkomponente ‘Security’ von Java SE und Java SE Embedded besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Verbindungsprotokolle für seine Zwecke nutzen kann. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der Software
und ermöglicht dem Angreifer die Manipulation einiger der von der Software
erreichbaren Daten. Die Schwachstelle betrifft Client-Installationen von
Java SE und Java SE Embedded.

CVE-2017-3533 CVE-2017-3544: Schwachstellen in Java SE, Java SE Embedded und
JRockit ermöglichen Manipulation von Daten

In der Subkomponente ‘Networking’ von Java SE, Java SE Embedded und JRockit
bestehen zwei schwer auszunutzende Schwachstellen, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die betroffene Software
über FTP oder SMTP für seine Zwecke nutzen kann. Ein erfolgreicher Angriff
erfordert keine Interaktion eines Benutzers der Software und ermöglicht dem
Angreifer die Manipulation einiger der von der betroffenen Software
erreichbaren Daten. Die Schwachstellen betreffen Client- und
Server-Installationen von Java SE, Java SE Embedded und JRockit.

CVE-2017-3526: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff

In der Subkomponente ‘Java API for XML Processing (JAXP)’ von Java SE, Java
SE Embedded und JRockit besteht eine schwer auszunutzende Schwachstelle, die
ein entfernter, nicht authentisierter Angreifer mit Netzwerkzugriff auf die
betroffene Software über verschiedene Protokolle für seine Zwecke nutzen
kann. Ein erfolgreicher Angriff erfordert keine Interaktion eines Benutzers
der Software und ermöglicht dem Angreifer wiederholbar die Erzeugung eines
Denial-of-Service-Zustands. Die Schwachstelle betrifft Client- und
Server-Installationen von Java SE, Java SE Embedded und JRockit, die in der
Folge eines Angriffs ihre Funktion nicht mehr erfüllen oder nicht mehr
erreichbar sind.

CVE-2017-3512 CVE-2017-3514: Schwachstellen in Java SE ermöglichen komplette
Systemübernahme

In der Subkomponente ‘Abstract Window Toolkit (AWT)’ von Java SE bestehen
zwei schwer auszunutzende Schwachstellen, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Protokolle für seine Zwecke nutzen kann. Ein erfolgreicher
Angriff erfordert die Interaktion eines Benutzers der Software und
ermöglicht dem Angreifer die komplette Kompromittierung der Software und in
der Folge des gesamten Systems. Die Schwachstellen betreffen
Client-Installationen von Java SE. Java SE 6u141 ist nur von der
Schwachstelle CVE-2017-3514 betroffen.

CVE-2017-3511: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht komplette Systemübernahme

In der Subkomponente ‘Java Cryptography Extension (JCE)’ von Java SE, Java
SE Embedded und JRockit besteht eine schwer auszunutzende Schwachstelle, die
ein lokaler, nicht authentisierter Angreifer für seine Zwecke nutzen kann.
Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers der
Software und ermöglicht dem Angreifer die komplette Kompromittierung der
Software und in der Folge des gesamten Systems. Die Schwachstelle betrifft
Client- und Server-Installationen von Java SE, Java SE Embedded und JRockit.

CVE-2017-3509: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen und Manipulation von Daten

In der Subkomponente ‘Networking’ von Java SE und Java SE Embedded besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Verbindungsprotokolle für seine Zwecke nutzen kann. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der Software
und ermöglicht dem Angreifer Lese- und Schreibzugriff auf eine Untermenge
der von der Software erreichbaren Daten. Die Schwachstelle betrifft
Client-Installationen von Java SE und Java SE Embedded.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0676/

Download von Java Updates:
http://www.oracle.com/technetwork/java/javase/downloads/index.html

Oracle Critical Patch Update Advisory – April 2017 – Oracle Java SE:
http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html#AppendixJAVA

CPUApr2017 Risk Matrix – Oracle Java SE:
http://www.oracle.com/technetwork/security-advisory/cpuapr2017verbose-3236619.html#JAVA

Hinweis zu MD5-signierten Archiven:
https://blogs.oracle.com/java-platform-group/entry/oracle_jre_will_no_longer

Oracle JRE and JDK Cryptographic Roadmap:
https://www.java.com/en/jre-jdk-cryptoroadmap.html

Schwachstelle CVE-2017-3509 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3509

Schwachstelle CVE-2017-3511 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3511

Schwachstelle CVE-2017-3512 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3512

Schwachstelle CVE-2017-3514 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3514

Schwachstelle CVE-2017-3526 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3526

Schwachstelle CVE-2017-3533 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3533

Schwachstelle CVE-2017-3539 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3539

Schwachstelle CVE-2017-3544 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3544

Red Hat Security Advisory RHSA-2017:1108:
http://rhn.redhat.com/errata/RHSA-2017-1108.html

Red Hat Security Advisory RHSA-2017:1109:
http://rhn.redhat.com/errata/RHSA-2017-1109.html

Oracle Linux Security Advisory ELSA-2017-1108:
https://linux.oracle.com/errata/ELSA-2017-1108.html

Oracle Linux Security Advisory ELSA-2017-1109:
https://linux.oracle.com/errata/ELSA-2017-1109.html

Fedora Security Update FEDORA-2017-25358a23ad (Fedora 25,
java-1.8.0-openjdk-1.8.0.131-1.b12):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-25358a23ad

Fedora Security Update FEDORA-2017-609b45150e (Fedora 26,
java-1.8.0-openjdk-1.8.0.131-1.b12):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-609b45150e

Fedora Security Update FEDORA-2017-9b18f02810 (Fedora 24,
java-1.8.0-openjdk-1.8.0.131-1.b12):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9b18f02810

Red Hat Security Advisory RHSA-2017:1117:
http://rhn.redhat.com/errata/RHSA-2017-1117.html

Red Hat Security Advisory RHSA-2017:1118:
http://rhn.redhat.com/errata/RHSA-2017-1118.html

Red Hat Security Advisory RHSA-2017:1119:
http://rhn.redhat.com/errata/RHSA-2017-1119.html

Fedora Security Update FEDORA-2017-9fbcf033f8
(java-1.8.0-openjdk-aarch32-1.8.0.131-1.170420.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9fbcf033f8

Fedora Security Update FEDORA-2017-a6a053fc05
(java-1.8.0-openjdk-aarch32-1.8.0.131-1.170420.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a6a053fc05

Fedora Security Update FEDORA-2017-bafc94f58f
(java-1.8.0-openjdk-aarch32-1.8.0.131-1.170420.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bafc94f58f

Red Hat Security Advisory RHSA-2017:1204:
http://rhn.redhat.com/errata/RHSA-2017-1204.html

Ubuntu Security Notice USN-3275-1:
http://www.ubuntu.com/usn/usn-3275-1/

Ubuntu Security Notice USN-3275-2:
http://www.ubuntu.com/usn/usn-3275-2/

Ubuntu Security Notice USN-3275-3:
http://www.ubuntu.com/usn/usn-3275-3/

Debian Security Advisory DSA-3858-1:
https://www.debian.org/security/2017/dsa-3858

SUSE Security Update SUSE-SU-2017:1400-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002920.html

openSUSE Security Update openSUSE-SU-2017:1429-1:
http://lists.opensuse.org/opensuse-updates/2017-05/msg00097.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben