DFN-CERT-2013-0911 Mehrere Schwachstellen in IBM Java 1.6.0 [Linux][RedHat]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket java-1.6.0-ibm

Betroffene Plattformen:

Red Hat Enterprise Linux Desktop Supplementary (v. 5) – i386, x86_64
Red Hat Enterprise Linux Desktop Supplementary (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node Supplementary (v. 6) – x86_64
Red Hat Enterprise Linux Server Supplementary (v. 5) – i386, ppc, s390x,
x86_64
Red Hat Enterprise Linux Server Supplementary (v. 6) – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation Supplementary (v. 6) – i386, x86_64

Mehrere Schwachstellen in IBM Java ermöglichen einem entfernten Angreifer
schlimmstenfalls die Vertraulichkeit, die Integrität und die Verfügbarkeit
vollständig zu beeinträchtigen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2013-1491: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor, JavaFX 2.2.7
und davor. Diese ermöglicht einem entfernten Angreifer, ohne
Authentifizierung, die Vertraulichkeit vollständig, die Integrität
vollständig und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-2419: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-2383: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit vollständig, die Integrität vollständig und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-1569: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit vollständig, die Integrität vollständig und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-2417: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “Networking” enthalten. Betroffen sind die Versionen 7
Update 17 und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-1537: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “RMI” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit vollständig, die Integrität vollständig und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-2432: Schwachstelle in Oracle Java

CVE-2013-1557: Schwachstelle in Oracle Java

CVE-2013-2384: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit vollständig, die Integrität vollständig und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-2440: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “Deployment” enthalten. Betroffen sind die Versionen 7
Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem
entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
beeinträchtigen.

CVE-2013-2394: Schwachstelle in Oracle Java

CVE-2013-2422: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “Libraries” enthalten. Betroffen sind die Versionen 7
Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem
entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
beeinträchtigen.

CVE-2013-2429: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “ImageIO” enthalten. Betroffen sind die Versionen 7 Update
17 und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit vollständig, die Integrität vollständig und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-2424: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “JMX” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit teilweise zu beeinträchtigen.

CVE-2013-2420: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit vollständig, die Integrität vollständig und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-1563: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “Install” enthalten. Betroffen sind die Versionen 7 Update
17 und davor, 6 Update 43 und davor, JavaFX 2.2.7 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit vollständig, die Integrität vollständig und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-1540: Schwachstelle in Oracle Java

CVE-2013-2430: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “ImageIO” enthalten. Betroffen sind die Versionen 7 Update
17 und davor, 6 Update 43 und davor, 5.0 Update 41 und davor, JavaFX
2.2.7 und davor. Diese ermöglicht einem entfernten Angreifer, ohne
Authentifizierung, die Vertraulichkeit vollständig, die Integrität
vollständig und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-2435: Schwachstelle in Oracle Java

CVE-2013-0401: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “AWT” enthalten. Betroffen sind die Versionen 7 Update 17
und davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese
ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
Vertraulichkeit teilweise und die Integrität teilweise zu beeinträchtigen.

CVE-2013-2433: Schwachstelle in Oracle Java

CVE-2013-2418: Schwachstelle in Oracle Java

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “Deployment” enthalten. Betroffen sind die Versionen 7
Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem lokalen
Angreifer, ohne Authentifizierung, die Vertraulichkeit teilweise, die
Integrität teilweise und die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2013-0169: Schwachstelle in OpenSSL und PolarSSL

In OpenSSL und PolarSSL existieren Unterschiede im Zeitverhalten bei der
Verarbeitung von gültigem und ungültigem CBC-Padding. Dies ermöglicht einem
entfernten Angreifer durch das Senden von präparierten Paketen und dem
anschließenden Auswerten der Reaktionszeiten, Zugriff auf die verschlüsselt
übertragenen Daten zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0911/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2013-0823.html

Schwachstelle CVE-2013-0169:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0169

Schwachstelle CVE-2013-0401:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0401

Schwachstelle CVE-2013-1491:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1491

Schwachstelle CVE-2013-1537:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1537

Schwachstelle CVE-2013-1540:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1540

Schwachstelle CVE-2013-1557:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1557

Schwachstelle CVE-2013-1563:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1563

Schwachstelle CVE-2013-1569:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1569

Schwachstelle CVE-2013-2383:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2383