DFN-CERT-2013-1809 Update von Java SE für alle Plattformen [][Linux][RedHat][Unix][Windows]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apple Java 1.6 for Mac OS X <= 1.6.0 Update 51 Oracle Java SE <= 5.0u51 Oracle Java SE <= 6u60 Oracle Java SE <= 7u40 Oracle Java SE Embedded <= 7u40 Oracle JRockit <= R27.7.6 Oracle JRockit <= R28.2.8 RedHat Enterprise Linux Desktop Supplementary <= 6 Redhat Enterprise Linux Server Supplementary <= 5 Redhat Enterprise Linux Server Supplementary <= 6 Redhat Enterprise Linux Server Supplementary <= 6.4 Redhat Enterprise Linux Server Supplementary <= 6.4.Z RedHat Enterprise Linux Workstation Supplementary <= 6 Betroffene Plattformen: Android Linux Mac OS RedHat Solaris UNIX Windows Mit dem October Patch Day schloß Oracle über 50 Sicherheitslücken in Java SE. Die Schwachstellen betreffen zu großen Teilen auch Java Embedded und JRockit. Im Nachgang haben auch andere Hersteller ihre entsprechenden Versionen angepasst bzw. aktualisiert, u.a. Apple mit Java for OS X und Red Hat. Weitere Hersteller werden folgen. Die möglichen Auswirkungen sind sehr unterschiedlich, die betroffenen Geräte und Rechner sind regelmäßig nicht nur durch einzelne Sicherheitslücken angreifbar, die überwiegende Mehrheit sind über das Netzwerk durch nicht authentifizierte Angreifer ausnutzbar. Insbesondere kann durch ein nicht-vertrauenswürdiges Java-Applet beliebiger Code auch außerhalb der Java-Sandbox mit den Rechten des betroffenen Benutzers ausgeführt werden! Dazu reicht es aus, eine manipulierte Web-Seite zu besuchen, von der das Java-Applet heruntergeladen wird. In diesem Zusammenhang muss betont werden, dass nur noch die Standard-Java Plug-Ins und Java Web Start des letzten JDKs oder JRE 7 Releases verwendet werden sollen. Patch: Apple Hersteller Advisory http://support.apple.com/kb/HT5982

Patch:

Oracle Hersteller Advisory

http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

Patch:

Red Hat Hersteller Advisory

http://rhn.redhat.com/errata/RHSA-2013-1440.html

CVE-2013-5849: Schwachstelle in Java Abstract Window Toolkit (AWT)

Über eine unzureichende Sicherheitsprüfung im Java Abstract Window Toolkit
(AWT) kann ein entfernter, nicht authentifizierter Angreifer lesenden
Zugriff auf alle von den Java-Prozessen zugreifbaren Daten erlangen.

CVE-2013-5832 CVE-2013-5848 CVE-2013-5852: Mehrere Schwachstellen in Java SE
Deployment (2)

Mehrere Schwachstellen in den Deployment-Komponenten können zum
vollständigen Verlust der Systemkontrolle führen. Ein entfernter, nicht
authentifizierter Angreifer kann durch Ausnutzen der Schwachstellen
beliebige Befehle mit Administrationsrechten bzw. Rechten des Dienstes
ausführen.

CVE-2013-5823: Schwachstelle in Java SE Komponente Security

In der Java SE Komponente Security ermöglicht eine Schwachstelle einem
entfernten, nicht authentifizierten Angreifer, die Verfügbarkeit der
Anwendung über verschiedene Protokolle zu beeinträchtigen.

CVE-2013-5817: Schwachstelle in JavaSE JNDI

Im Java Naming and Directory Interface (JNDI) ermöglicht es eine
Schwachstelle einem entfernten, nicht authentisierten Angreifer, über
verschiedene Protokolle erweiterte Rechte zu übernehmen. VersionHelper12
akzeptiert nicht die Restriktionen von modifyThreadGroup.

CVE-2013-5814: Schwachstelle in Java CORBA

Eine Schwachstelle in Java CORBA kann von einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle zur Ausführung von
beliebigen Befehlen genutzt werden.

CVE-2013-5800 CVE-2013-5803: Mehrere Schwachstellen in Java SE und Java SE
Embedded JGSS

In JGSS existieren Schwachstellen im Zusammenhang mit Kerberos. Ein
entfernter, nicht authentifizierter Angreifer kann hierdurch einen
Denial-of-Service-Angriff durchführen oder einen lesenden Zugriff auf vom
Java-Prozess her zugreifbaren Daten erlangen.

CVE-2013-5797 CVE-2013-5804: Zwei Schwachstellen in Javadoc

In Javadoc ermöglichen zwei Schwachstellen einem entfernten, nicht
authentifizierten Angreifer die Vertraulichkeit und Integrität von Daten zu
beeinträchtigen. Javac ignoriert bestimmte auszulassende Zeichen nicht und
es gibt Fehler beim Setzen von Fenstertiteln, so dass Benutzer getäuscht
werden können.

CVE-2013-5790: Schwachstelle in JavaBeans

Durch unzureichende Sicherheitsprüfungen in JavaBeans kann sich ein
entfernter, nicht authentifizierter Angreifer lesenden Zugriff auf Dateien
verschaffen.

CVE-2013-5784: Schwachstelle in Java SE Komponente Scripting

Eine Schwachstelle in der Java SE Scripting Komponente bezüglich
unzulänglicher Sicherheitsprüfungen im “InterfaceImplementor” ermöglicht
einem entfernten, nicht authentifizierten Angreifer, Daten der Anwendung zu
manipulieren.

CVE-2013-5783 CVE-2013-5805 CVE-2013-5806: Mehrere Schwachstellen in Java SE
Komponente Swing

In der Java SE Komponente Swing ermöglichen mehrere Schwachstellen einem
entfernten, nicht authentifizierten Angreifer die vollständige Übernahme des
Systems über verschieden Protokolle.

CVE-2013-5778 CVE-2013-5782 CVE-2013-5801 CVE-2013-5809 CVE-2013-5829
CVE-2013-5843: Mehrere Schwachstellen in JavaSE 2D

In der JavaSE-Komponente 2D ermöglichen es mehrere Schwachstellen einem
entfernten, nicht authentisierten Angreifer, über verschiedene Protokolle
das System oder den Dienst zu übernehmen.

CVE-2013-5776 CVE-2013-5787 CVE-2013-5788 CVE-2013-5789 CVE-2013-5812
CVE-2013-5818 CVE-2013-5819 CVE-2013-5824 CVE-2013-5831: Mehrere
Schwachstellen in Java SE Deployment

CVE-2013-5772: Schwachstelle im Java Heap Analysis Tool (jhat)

Im Java Heap Analysis Tool (jhat) existiert eine Schwachstelle, die es
ermöglicht, Daten zu manipulieren. Das Filtern von HTML ist fehlerhaft. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Daten zu manipulieren.

CVE-2013-4002 CVE-2013-5802 CVE-2013-5825 CVE-2013-5851: Mehrere
Schwachstellen in der Java API für die XML-Verarbeitung (JAXP)

In JAXP, der Java API für die XML-Verarbeitung, existieren mehrere
Schwachstellen in Bezug auf die Analyse von XML und das Verarbeiten von
Konstanten. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstellen für einen Denial-of-Service-Angriff oder zum Ausführen
beliebigen Programmcodes verwenden.

CVE-2013-3829 CVE-2013-5774 CVE-2013-5780 CVE-2013-5830 CVE-2013-5838
CVE-2013-5840 CVE-2013-5842 CVE-2013-5850: Mehrere Schwachstellen in Java
Libraries

In verschiedenen Java Libraries sind mehrere nicht detailliert beschriebene
Schwachstellen vorhanden, unter anderem in den Bereichen,
Sicherheitsprüfungen und Verarbeitung von IPv6-Adressen. Die Schwachstellen
erlauben es u.a. einem entfernten, nicht authentifizierten Angreifer,
beliebigen Programmcode auszuführen und damit die Integrität und
Vertraulichkeit der Daten zu gefährden.

CVE-2013-5820: Schwachstelle in Java API für XML Web Services (JAX-WS)

In JAX-WS, der Java API für XML Web Services, werden durch eine
Schwachstelle unzureichende Sicherheitsprüfungen durchgeführt. Die
Schwachstelle ermöglicht einem entfernten, nicht authentifizierten Angreifer
die Ausführung beliebigen Programmcodes.

CVE-2013-5775 CVE-2013-5777 CVE-2013-5810 CVE-2013-5844 CVE-2013-5846
CVE-2013-5854: Mehrere Schwachstellen im JavaFX-Framework

Mehrere Schwachstellen im JavaFX-Framework erlauben einem entfernten, nicht
authentifizierten Benutzer das Ausführen beliebigen Programmcodes mit den
Rechten eines Administrators bzw. des Dienstes.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1809/

Schwachstelle CVE-2013-5817 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5817

Schwachstelle CVE-2013-5772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5772

Apple Hersteller-Advisory:
http://support.apple.com/kb/HT5982

Apple Hersteller Advisory:
http://support.apple.com/kb/HT5982

Oracle Hersteller Advisory:
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

Schwachstelle CVE-2013-5776 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5776

Schwachstelle CVE-2013-5782 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5782

Schwachstelle CVE-2013-5784 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5784

Schwachstelle CVE-2013-5797 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5797

Schwachstelle CVE-2013-5783 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5783