DFN-CERT-2012-0313 Mehrere Schwachstellen in Java-1.6.0-openjdk [Linux][Fedora]

DFN-CERT-2012-0313 Mehrere Schwachstellen in Java-1.6.0-openjdk [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket java-1.6.0-openjdk

Betroffene Plattformen:

Fedora 16

Mehrere Schwachstellen in Java erlauben einem entfernten Angreifer Denial of
Service-Angriffe durchzuführen, Zugriffe auf vertrauliche Informationen zu
erlangen und ggf. beliebigen Code zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2011-3563: Schwachstelle in Java Sound-Komponente

Die Java Sound Komponente überprüft Puffergrenzen nicht fehlerfrei. Einem
entfernter Angreifer ermöglicht dies durch eine präparierte Eingabe, eine
präparierte Java Anwendung oder ein präpariertes Applet einen Buffer
Overflow zu erzeugen und dadurch einen Absturz der JVM (Java Virtual
Machine) zu provozieren oder Zugriff auf einen Teil des Speichers der JVM zu
erlangen.

CVE-2011-3571: Schwachstelle in Java-Klasse AtomicReferenceArray

In der Java Implementierung der Klasse AtomicReferenceArray wird nicht
fehlerfrei überprüft ob ein Feld dem erwartetet Typ entspricht. Ein
entfernter Angreifer kann mittels einer präparierten Java Anwendung oder
mittels eines präparierten Java Applets die Einschränkungen der Java Sandbox
umgehen.

CVE-2012-0501: Schwachstelle in Implementierung von UNZIP in Java

Die Implementierung des Entpackers von ZIP-Archiven in Java enthält einen
Fehler bei der Indizierung, welcher zu einem Stack Overflow führt. Dies
ermöglicht einem entfernten Angreifer durch die Verwendung eines
präparierten ZIP-Archiv die JVM (Java Virtual Machine) beim Öffnen dieses
Archivs zum Absturz zu bringen (Denial-of-Service).

CVE-2012-0503: Schwachstelle in Java

Der SecurityManager in Java versäumt es den Zugriff auf die Funktion
TimeZone.setDefault() zu beschränken. Dies ermöglicht einem entfernten
Angreifer durch die Verwendung einer präparierten Java Anwendung oder eines
präparierten Java Applets, eine neue “Default”-Zeitzone zu setzen.

CVE-2012-0505: Schwachstelle in Java

In Java enthält die Exception, welche bei einem Deserialisierungs-Fehler
geworfen wird, nicht immer eine genaue Identifikation der Ursache des
Fehlers. Dies ermöglicht einem entfernten Angreifer durch die Verwendung
einer präparierten Java Anwendung oder eines präparierten Java Applets, die
Beschränkungen der Java Sandbox zu umgehen.

CVE-2012-0497: Schwachstelle in Java2D Komponente

Die Java2D Komponente überprüft Objekte zum Rendern von Grafiken nicht
fehlerfrei. Einem entfernter Angreifer ermöglicht dies durch eine
präparierte Eingabe, eine präparierte Java Anwendung oder ein präpariertes
Applet einen Absturz der JVM (Java Virtual Machine) zu provozieren oder die
Beschränkungen der Java Sandbox zu umgehen.

CVE-2012-0506: Schwachstelle in CORBA Implementierung in Java

In der CORBA (Common Object Request Broker Architecture) Implementierung in
Java werden die Bezeichner der “Repositories” einiger CORBA-Objekte nicht
geschützt. Dies ermöglicht einem entfernten Angreifer nicht-veränderbare
Objekte zu modifizieren.

CVE-2012-0502: Schwachstelle im AWT KeyboardFocusManager

Der AWT KeyboardFocusManager in Java enthält eine nicht näher spezifizierte
Schwachstelle, welche es einem entfernten Angreifer durch die Verwendung
einer präparierten Java Anwendung oder eines präparierten Java Applets
ermöglicht, Zugriff auf sensitive Informationen zu erlangen.

CVE-2011-5035: Schwachstelle in Java

Java berechnet in einigen Komponenten Hash-Summen ohne die Möglichkeit
einzuschränken, vorhersagbar Hash-Kollisionen zu erzeugen. Dies ermöglicht
einem entfernten Angreifer durch das Senden von Hash-Kollisionen an
betroffene Anwendungen einen Denial-of-Service Zustand (Auslastung der CPU)
herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0313/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-February/073416.html

Schwachstelle CVE-2011-3571:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3571

Schwachstelle CVE-2011-3563:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3563

Schwachstelle CVE-2012-0502:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0502

Schwachstelle CVE-2012-0503:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0503

Schwachstelle CVE-2012-0505:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0505

Schwachstelle CVE-2012-0506:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0506

Schwachstelle CVE-2012-0497:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0497

Schwachstelle CVE-2012-0501:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0501

Schwachstelle CVE-2011-5035:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5035

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben