[SuSE] Mehrere Schwachstellen in IBM Java 1.4.2

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes SuSE Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-4476 – Schwachstelle bei Umwandlung bestimmter Zeichenketten im
Java 1.6.0 OpenJDK

Im Java 1.6.0 OpenJDK werden Zeichenketten in unsicherer Weise in
Gleitkommazahlen umgewandelt. Mit der Umwandlung bestimmter
Zeichenketten (strings) in Gleitkommazahlen doppelter Genauigkeit
(double) kann der Java Compiler in eine Endlosschleife gebracht werden.
Ein entfernter Angreifer kann diese Schwachstelle, z.B. mit einem
manipulierten HTTP-Request, ausnutzen, um eine Java-basierte Anwendung
zum Stillstand zu bringen (Denial of Service).

CVE-2010-4422 / CVE-2010-4447 / CVE-2010-4451 / CVE-2010-4452 /
CVE-2010-4454 / CVE-2010-4462 / CVE-2010-4466 / CVE-2010-4467 /
CVE-2010-4468 / CVE-2010-4473 / CVE-2010-4475 / CVE-2010-4463 – Mehrere
Schwachstellen im Java Runtime Environment (JRE)

Mehrere nicht naeher beschriebene Schwachstellen in dem Java Runtime
Environment (JRE) koennen entfernte Angreifer zum Ausfuehren beliebiger
Befehle ausnutzen, sowie um unberechtigt sensible Daten zu erhalten oder
eine Anwendung zum Absturz zu bringen (Denial-of-Service).

CVE-2010-4465 / CVE-2010-4469 / CVE-2010-4470 / CVE-2010-4471 /
CVE-2010-4472 / CVE-2010-4450 / CVE-2010-4448 – Mehrere Schwachstellen
in Java 1.6.0

In Java 1.6 existieren mehrere Schwachstellen. Unter anderem ist es
moeglich, dass ein Angreifer widerrechtlich bei Applets Zugriff auf die
Zwischenablage erhaelt und das ein DNS Cache Poisoning bei nicht
vertrauenswuerdigen Applets moeglich ist. Auch ist es entfernten
Angreifern in einigen Fallen moeglich, dass Systemeinstellungen
eingesehen werden koennen. Zusaetzlich werden leere
LD_LIBRARY_PATH-Variablen des Nutzers beim Start des “launchers” nicht
korrekt gehandhabt und nicht vertrauenswuerdiger Code kann die JRE’s XML
DSig Transform oder C14N Algorithmus-Implementationen ersetzen.

CVE-2011-0311 – Schwachstelle in IBM Java-Runtime

In der IBM Java-Runtime ist eine Schwachstelle im “class file parser”
vorhanden. Enthaelt eine Class-Datei eine ungueltige Laenge fuer ein
Attribut-Feld, kommt es zu einem Segmentation Fault. Damit ist es einem
entfernten Angreifer mittels speziell praeparierter Class-Dateien
moeglich, einen Denial of Service-Angriff durchzufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket java-1_4_2-ibm

SUSE Linux Enterprise for SAP Applications 11 SP1
SUSE Linux Enterprise Java 11 SP1

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

SUSE Security Update: Security update for IBM Java 1.4.2
______________________________________________________________________________

Announcement ID: SUSE-SU-2011:0823-1
Rating: important
References: #704326
Cross-References: CVE-2010-4447 CVE-2010-4448 CVE-2010-4454
CVE-2010-4462 CVE-2010-4465 CVE-2010-4466
CVE-2010-4473 CVE-2010-4475 CVE-2010-4476
CVE-2011-0311
Affected Products:
SUSE Linux Enterprise for SAP Applications 11 SP1
SUSE Linux Enterprise Java 11 SP1
______________________________________________________________________________

An update that fixes 10 vulnerabilities is now available.

Description:

IBM Java 1.4.2 SR13 for SAP fixes various bugs and the
following security issues:

Patch Instructions:

To install this SUSE Security Update use YaST online_update.
Alternatively you can run the command listed for your product:

– SUSE Linux Enterprise for SAP Applications 11 SP1:

zypper in -t patch slesapp1-java-1_4_2-ibm-sap-4856

– SUSE Linux Enterprise Java 11 SP1:

zypper in -t patch slejsp1-java-1_4_2-ibm-sap-4856

To bring your system up-to-date, use “zypper patch”.

Package List:

– SUSE Linux Enterprise for SAP Applications 11 SP1 (x86_64):

java-1_4_2-ibm-sap-1.4.2_sr13.9-0.3.1
java-1_4_2-ibm-sap-devel-1.4.2_sr13.9-0.3.1

– SUSE Linux Enterprise Java 11 SP1 (x86_64):

java-1_4_2-ibm-sap-1.4.2_sr13.9-0.3.1
java-1_4_2-ibm-sap-devel-1.4.2_sr13.9-0.3.1

References:

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOKWnxAAoJEJtyb8U7iGZBab0IAKk4axZoylCHpa9zHl9WXLmb
kbQ5had01lsvRbWjocyZag0vhk+eDPSNHN8cQl3zDFRUTaUJWFZDrKev0dOQje+5
nPqupc5XqyD0PvjENfAjh6xAcMGBxdVn+QZf5KEzqvq2RQwQZtMN7F8KcD3MGJwZ
ezTpoTDiFspxLXJFrthtNWWdrcCqlyxEtyVwpB8OtEVL1qKUy9wtIjiV/AyfnLm0
ffGD1NJRMHoE6AmHshlSL9TBG6/uP49Yc866sLKXWWbBgjmsmDkSDOdP7UXVBMAS
gHBheu8t9P4mbG77zW93Q7C2lVvuE2QjJenqpRZkZQP83mEAwC4pRGufr2JZyzA=
=/N+W
—–END PGP SIGNATURE—–

[SuSE] Mehrere Schwachstellen in IBM Java 1.4.2 - SUSE-SU-2011:0823-1

LMP003 Chemnitzer Linux-Tage 2026

[SuSE] Mehrere Schwachstellen in IBM Java 1.4.2 – SUSE-SU-2011:0823-1

[SuSE] Mehrere Schwachstellen in IBM Java 1.4.2 - SUSE-SU-2011:0823-1