Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Red Hat Extras 5 Client/Java-1.6.0-IBM
Red Hat Extras 5 Server/Java-1.7.0-IBM
Red Hat Extras 5 Server/Java-1.6.0-IBM
Red Hat Extras 6/Java-1.6.0-IBM
Red Hat Extras 6/Java-1.7.0-IBM
Betroffene Plattformen:
RedHat Enterprise Linux Desktop Supplementary 5
RedHat Enterprise Linux Desktop Supplementary 6
RedHat Enterprise Linux HPC Node Supplementary 6
Redhat Enterprise Linux Server Supplementary 5
Redhat Enterprise Linux Server Supplementary 6
Redhat Enterprise Linux Server Supplementary 6.5
Redhat Enterprise Linux Server Supplementary 6.5.Z
RedHat Enterprise Linux Workstation Supplementary 6
Die durch das Update geschlossenen Schwachstellen erlauben zahlreiche
Angriffe mit verschiedenen Auswirkungen. Fehlerhafte Eingabeprüfungen
erlauben es unter Umständen, die Beschränkungen der Java-Sandbox zu umgehen.
In verschiedenen Komponenten wurden unzureichende Überprüfungen der
Privilegien und Restriktionen korrigiert, wodurch es ebenfalls möglich ist,
die Beschränkungen der Java-Sandbox ganz oder teilweise zu umgehen. Bei der
Verarbeitung von externen XML-Objekten kann es dazu kommen, dass die
Anwendung abstürzt oder sensitive Informationen zugänglich gemacht werden.
Kritische Informationen über verwendete kryptographische Schlüssel können
bei dem TLS/SSL-Handshake durch Angreifer herausgefunden werden, die dieses
Wissen für weitere Angriffe nutzen können.
Red Hat stellt aktualisierte Pakete java-1.6.0-ibm und java-1.7.0-ibm für
verschiedene Red Hat Enterprise Plattformen zur Verfügung, welche die
angegebenen Schwachstellen beheben.
Patch:
Red Hat Security Advisory RHSA-2014-0134
http://rhn.redhat.com/errata/RHSA-2014-0134.html
Patch:
Red Hat Security Advisory RHSA-2014-0135
http://rhn.redhat.com/errata/RHSA-2014-0135.html
Mehrere Schwachstellen in JavaSE Deployment
In dem Java-Modul Deployment ermöglichen es mehrere Schwachstellen einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
das System oder den Dienst zu übernehmen.
Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
Schwachstelle in JavaSE Deployment
In dem Java-Modul Deployment ermöglicht es diese Schwachstelle einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
das System oder den Dienst zu übernehmen.
Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
Schwachstelle in JavaSE Deployment
In dem Java-Modul Deployment ermöglicht es diese Schwachstelle einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
das System oder den Dienst zu übernehmen.
Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
Mehrere Schwachstellen in JavaSE Deployment
In dem Java-Modul Deployment ermöglichen es mehrere Schwachstellen einem
entfernten, nicht authentifizierten Angreifer, über verschiedene Protokolle
durch die Anwendung zugängliche Daten zu lesen, zu verändern oder zu
löschen.
Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
Schwachstelle in JavaSE Deployment
In dem Java-Modul Deployment ermöglicht es diese Schwachstelle einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
das System oder den Dienst zu übernehmen. Die Schwachstelle kann nur bei
Client-Installationen, durch die Sandbox geschützten Java-Applets oder
WebStart-Anwendungen ausgenutzt werden.
Mehrere Schwachstellen in JavaSE Deployment
In dem Java-Modul Deployment ermöglichen es mehrere Schwachstellen einem
entfernten, nicht authentifizierten Angreifer, über verschiedene Protokolle
durch die Anwendung zugängliche Daten zu lesen, zu verändern oder zu
löschen.
Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
Mehrere Schwachstellen in JavaSE Deployment
In dem Java-Modul Deployment ermöglichen es mehrere Schwachstellen einem
entfernten, nicht authentifizierten Angreifer, über verschiedene Protokolle
durch die Anwendung zugängliche Daten zu lesen, zu verändern oder zu
löschen. Diese Schwachstelle kann nur bei Client-Installationen, durch die
Sandbox geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt
werden.
Schwachstelle in JavaSE Deployment
Eine Schwachstelle wurde in Java SE für die Komponente Deployment
festgestellt. Die Schwachstelle kann bei Client- und Serverinstallationen,
durch die Sandbox geschützten Java-Applets oder WebStart-Anwendungen
ausgenutzt werden. Diese Schwachstelle ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle das System oder den
Dienst zu übernehmen und beliebigen Programmcode auszuführen.
CVE-2013-5910: Schwachstelle in JavaSE Security
Eine Schwachstelle in der JavaSE Security führt dazu, dass unzureichende
Sicherheitsprüfungen durchgeführt werden, wodurch Schreib- und Lesezugriffe
auf Dateien im Kontext des Java Prozesses möglich sind.
CVE-2014-0417: Schwachstelle in JavaSE 2D
In der JavaSE-Komponente 2D ermöglicht es diese Schwachstelle einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
das System oder den Dienst zu übernehmen.
Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
CVE-2013-5899: Schwachstelle in JavaSE Deployment
In dem Java-Modul Deployment ermöglicht eine Schwachstellen einem
entfernten, nicht authentifizierten Angreifer, über verschiedene Protokolle
durch die Anwendung zugängliche Daten zu lesen.
Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
CVE-2013-5888: Schwachstelle in JavaSE Deployment
In dem Java-Modul Deployment ermöglicht eine Schwachstellen es einem
lokalen, nicht authentifizierten Angreifer, über verschiedene Protokolle
durch die Anwendung zugängliche Daten zu lesen, zu verändern oder zu löschen
bzw. einen Denial-of-Service-Zustand zu bewirken.
Die Schwachstelle kann nur bei Clientinstallationen für die GNOME-Umgebung
auf Linux- bzw. Solaris-Systemen ausgenutzt werden.
CVE-2013-5887: Schwachstelle in JavaSE Deployment
In dem Java-Modul Deployment ermöglicht es diese Schwachstelle einem
entfernten, nicht authentifizierten Angreifer, über HTTP die Anwendung in
einen Denial-of-Service-Zustand zu versetzen.
Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
CVE-2014-0428: Schwachstelle in JavaSE CORBA
In der JavaSE-Komponente CORBA ermöglicht es diese Schwachstelle bei der
Durchsetzung von Zugriffsbeschränkungen einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle das System oder den
Dienst zu übernehmen.
Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
CVE-2014-0423: Schwachstelle in JavaSE Beans
In der JavaSE-Komponente Beans ermöglicht es diese Schwachstelle einem
entfernten Angreifer, über verschiedene Protokolle auf Daten zuzugreifen,
die von der Anwendung verarbeitet werden, oder einen Denial-of-Service zu
verursachen.
Die Schwachstelle kann bei Client- und Serverinstallationen, durch die
Sandbox geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt
werden.
CVE-2014-0422: Schwachstelle in JavaSE JNDI
Im Java Naming and Directory Interface (JNDI) ermöglicht es diese
Schwachstelle bei der Durchsetzung von Zugriffsbeschränkungen einem
entfernten, nicht authentifizierten Angreifer, über verschiedene Protokolle
das System oder den Dienst zu übernehmen.
Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
CVE-2014-0416: Schwachstelle in JavaSE JAAS
In der JavaSE-Komponente JAAS ermöglicht es diese Schwachstelle einem
entfernten, nicht authentifizierten Angreifer, über verschiedene Protokolle
das System oder den Dienst zu manipulieren. Insbesondere kann der Angreifer
durch die Anwendung zugängliche Daten lesen, verändern oder löschen.
Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
CVE-2014-0411: Schwachstelle in JavaSE JSSE
In der JavaSE-Komponente JSSE ermöglicht es diese Schwachstelle einem
entfernten, nicht authentifizierten Angreifer über SSL/TLS das System oder
den Dienst zu manipulieren. Insbesondere kann der Angreifer durch die
Anwendung zugängliche Daten lesen, verändern oder löschen.
Die Schwachstelle kann bei Client- und Serverinstallationen ausgenutzt
werden.
CVE-2014-0376: Schwachstelle in JavaSE JAXP
In JAX-WS, der Java API für XML Web Services, werden durch eine
Schwachstelle unzureichende Sicherheitsprüfungen durchgeführt, wodurch
Schreib- und Lesezugriffe auf Dateien im Kontext des Java Prozesses möglich
sind. Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
CVE-2014-0373: Schwachstelle in JavaSE Serviceability
In der JavaSE-Komponente Serviceability ermöglicht es diese Schwachstelle,
über die Verwendung verschiedener Protokolle durch die Anwendung zugängliche
Daten zu lesen, zu verändern oder zu löschen. Die Schwachstelle kann nur bei
Clientinstallationen, durch die Sandbox geschützten Java-Applets oder
WebStart-Anwendungen ausgenutzt werden.
CVE-2014-0368: Schwachstelle in JavaSE Networking
In der JavaSE-Komponente Networking ermöglicht es eine Schwachstelle, über
die Verwendung verschiedener Protokolle, die durch die Anwendung
zugänglichen Daten zu lesen. Die Schwachstelle kann nur bei
Clientinstallationen, durch die Sandbox geschützten Java-Applets oder
WebStart-Anwendungen ausgenutzt werden.
CVE-2013-5907: Schwachstellen in JavaSE 2D
In der JavaSE-Komponente 2D ermöglicht es eine fehlerhafte Eingabeprüfung,
über die Verwendung verschiedener Protokolle das System oder den Dienst zu
übernehmen und unter Umständen, die Beschränkungen der Java-Sandbox zu
umgehen. Die Schwachstelle kann bei Client- und Serverinstallationen, durch
die Sandbox geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt
werden.
CVE-2013-5896: Schwachstelle in JavaSE CORBA
In der JavaSE-Komponente CORBA ermöglicht es diese Schwachstelle, über die
Verwendung verschiedener Protokolle das System oder den Dienst zum Absturz
zu bringen. Die Schwachstelle kann nur bei Clientinstallationen, durch die
Sandbox geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt
werden.
CVE-2013-5884: Schwachstelle in JavaSE CORBA
Eine Schwachstelle in der JavaSE-Komponente CORBA führt dazu, dass durch
nicht näher beschriebene Aktionen mit verschiedenen Protokollen, lesender
Zugriff auf Dateien im Kontext des Java Prozesses möglich ist. Die
Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
CVE-2013-5878: Schwachstelle in JavaSE Security
Eine Schwachstelle in der JavaSE Security führt dazu, dass durch nicht näher
beschriebene Aktionen unter Verwendung verschiedener Protokolle, Schreib-
und Lesezugriffe auf Dateien im Kontext des Java Prozesses möglich sind.
Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0143/
Schwachstelle CVE-2013-5907 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5907
Schwachstelle CVE-2014-0417 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0417
Schwachstelle CVE-2014-0423 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0423
Schwachstelle CVE-2014-0428 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0428
Schwachstelle CVE-2013-5884 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5884
Schwachstelle CVE-2013-5896 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5896
Schwachstelle CVE-2014-0373 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0373
Schwachstelle CVE-2013-5878 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5878
Schwachstelle CVE-2013-5910 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5910
Schwachstelle CVE-2014-0368 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0368
Schwachstelle CVE-2014-0416 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0416
Schwachstelle CVE-2014-0411 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0411
Schwachstelle CVE-2014-0422 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0422
Schwachstelle CVE-2014-0376 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0376
Schwachstelle CVE-2014-0410 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0410
Schwachstelle CVE-2013-5889 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5889
Schwachstelle CVE-2014-0387 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0387
Schwachstelle CVE-2014-0415 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0415
Schwachstelle CVE-2014-0424 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0424
Schwachstelle CVE-2014-0403 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0403
Schwachstelle CVE-2014-0375 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0375
Schwachstelle CVE-2013-5898 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5898
Schwachstelle CVE-2013-5899 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5899
Schwachstelle CVE-2013-5888 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5888
Schwachstelle CVE-2013-5887 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5887
Red Hat Security Advisory RHSA-2014-0134:
http://rhn.redhat.com/errata/RHSA-2014-0134.html
Red Hat Security Advisory RHSA-2014-0135:
http://rhn.redhat.com/errata/RHSA-2014-0135.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
