Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket icedtea-web

Betroffene Plattformen:

openSUSE 11.4
openSUSE 12.3

Schwachstellen in IcedTea-Web ermöglichen schlimmstenfalls einem entfernten
Angreifer beliebige Befehle auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2013-1927: Schwachstelle in GIFAR

Im Browser-Plugin IcedTea-Web vor Version 1.3.2 werden GIFAR-Dateien, also
eine Kombination eines GIF-Bildes mit einer JAR-Datei in einer einzelnen
Datei, nicht richtig behandelt. Einem entfernten Angreifer ist es damit
möglich, schlimmstenfalls ein Java-Applet auf Seiten zur Ausführung zu
bringen, die den Upload von GIF-Bildern erlauben.

CVE-2013-1926: Schwachstelle im Browser-Plugin IcedTea-Web

Im Browser-Plugin IcedTea-Web werden Applets, die den gleichen Codebase-Pfad
haben, vom “class loader” nicht korrekt behandelt. Einem entfernten
Angreifer ist es mittels eines manipulierten Applet damit möglich,
vertrauliche Information abzufragen oder andere Applets zu manipulieren, um
so schlimmstenfalls Code in anderen Kontexten zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1080/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2013-1927:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1927

Schwachstelle CVE-2013-1926:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1926

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.