DFN-CERT-2013-0805 Mehrere Schwachstellen in IBM Java 1.7.0 [Linux][SuSE]

DFN-CERT-2013-0805 Mehrere Schwachstellen in IBM Java 1.7.0 [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket java-1_7_0-ibm

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP2
SUSE Linux Enterprise Server 11 SP2 für VMware
SUSE Linux Enterprise Server 11 SP2
SUSE Linux Enterprise Java 11 SP2

Mehrere Schwachstellen in Java SE erlauben es einem entfernten Angreifer
beliebige Befehle zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2013-0485: Schwachstelle in IBM Java

In Der IBM-Implementierung existiert eine nicht näher beschriebene
Schwachstelle in der Komponente ‘Class Libraries’. Die genauen Auswirkungen
der Schwachstelle sind nicht aufgeführt.

CVE-2013-0809: Schwachstelle in Java

In der 2D-Komponente von Java ist ein Integer-Overflow, durch die Art wie
Model-Instanzen behandelt werden, möglich. Einem entfernten Angreifer ist es
mittels einer speziell präparierten Modell-Instanz schlimmstenfalls möglich,
beliebige Befehle zur Ausführung zu bringen.

CVE-2013-1493: Schwachstelle in Java

In der 2D-Komponente von Java werden Bilder, die nicht standardkonform sind,
nicht korrekt abgelehnt. Einem entfernten Angreifer ist es mittels
präparierter Bilder, die ausgewählte Raster-Parameter enthalten, dadurch
schlimmstenfalls möglich, beliebigen Code zur Ausführung zu bringen. Diese
Schwachstelle wird bereits aktiv ausgenutzt.

CVE-2013-0169: Schwachstelle in OpenSSL und PolarSSL

In OpenSSL und PolarSSL existieren Unterschiede im Zeitverhalten bei der
Verarbeitung von gültigem und ungültigem CBC-Padding. Dies ermöglicht einem
entfernten Angreifer durch das Senden von präparierten Paketen und dem
anschließenden Auswerten der Reaktionszeiten, Zugriff auf die verschlüsselt
übertragenen Daten zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0805/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce

Schwachstelle CVE-2013-0485:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0485

Schwachstelle CVE-2013-0809:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0809

Schwachstelle CVE-2013-1493:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1493

Schwachstelle CVE-2013-0169:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0169

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben