DFN-CERT-2014-0472 Java, OpenJDK: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes [Linux][RedHat]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenJDK 1.6.0
OpenJDK 1.7.0

Betroffene Plattformen:

Red Hat Enterprise Linux 5 Server
Red Hat Enterprise Linux 6 Workstation
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.5 AUS
Red Hat Enterprise Linux Server 6.5.z EUS

Mehrere Schwachstellen in Java, OpenJDK ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Vertraulichkeit, Integrität und
Verfügbarkeit des Systems zu beeinträchtigen unter anderem durch die
Ausführung beliebiger Befehle mit erweiterten Privilegien.
Die Schwachstellen CVE-2014-0454, CVE-2014-0455, CVE-2014-0459,
CVE-2014-2402 und CVE-2014-2413 wurden nur in OpenJDK 1.7.0 behoben.

Patch:

Red Hat Security Advisory RHSA-2014:0408-1

http://rhn.redhat.com/errata/RHSA-2014-0408.html

Patch:

Red Hat Security Advisory RHSA-2014:0407-1

http://rhn.redhat.com/errata/RHSA-2014-0407.html

Patch:

Red Hat Security Advisory RHSA-2014:0406-1

http://rhn.redhat.com/errata/RHSA-2014-0406.html

CVE-2014-2403: Schwachstelle in Oracle Java SE, Java SE Embedded und JavaFX

Oracle Java SE, Java SE Embedded und JavaFX enthalten mehrere nicht näher
beschriebene Schwachstelle in den Komponenten AWT, Deployment, JAXP, 2D und
Scripting. Diese ermöglichen einem entfernten, nicht authentifizierten
Angreifer die Vertraulichkeit teilweise zu beeinträchtigen.

CVE-2014-2397: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Hotspot. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer, die Kontrolle über das System zu
übernehmen und beliebigen Programmcode zur Ausführung zu bringen.

CVE-2014-0461: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Libraries. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer, die Kontrolle über das System
zu übernehmen und beliebigen Programmcode zur Ausführung zu bringen.

CVE-2014-0455: Schwachstelle in Oracle Java SE und Java SE Embedded

CVE-2014-2421: Schwachstelle in Oracle Java SE, Java SE Embedded und JavaFX

Oracle Java SE, Java SE Embedded und JavaFX enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente 2D. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-2413: Schwachstelle in Oracle Java SE und Java SE Embedded

CVE-2014-2412 CVE-2014-0451 CVE-2014-0458 CVE-2014-2423 CVE-2014-0452
CVE-2014-2414 CVE-2014-0446 CVE-2014-2427: Schwachstelle in Oracle Java SE
und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten acht nicht näher beschriebene
Schwachstellen in den Komponenten AWT, JAX-WS, JAXB, Libraries, Security und
Sound. Diese ermöglichen einem entfernten, nicht authentifizierten Angreifer
die Vertraulichkeit, die Integrität und die Verfügbarkeit jeweils teilweise
zu beeinträchtigen.

CVE-2014-2402: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Libraries. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-2398: Schwachstelle in Oracle Java SE, JRockit und JavaFX

Oracle Java SE, JRockit und JavaFX enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Javadoc. Diese ermöglicht einem entfernten,
authentifizierten Angreifer die Integrität teilweise zu beeinträchtigen.

CVE-2014-1876: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Libraries. Diese ermöglicht
einem lokalen, nicht authentifizierten Angreifer die Integrität und die
Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-0460: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente JNDI. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und die
Integrität jeweils teilweise zu beeinträchtigen.

CVE-2014-0459: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente 2D. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2014-0457: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Libraries. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-0456: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Hotspot. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-0454: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Security. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-0453: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Security. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und
die Integrität jeweils teilweise zu beeinträchtigen.

CVE-2014-0429: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente 2D. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0472/

Schwachstelle CVE-2014-1876 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1876

Schwachstelle CVE-2014-0429 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0429

Schwachstelle CVE-2014-0457 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0457

Schwachstelle CVE-2014-0456 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0456

Schwachstelle CVE-2014-2421 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2421

Schwachstelle CVE-2014-2397 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2397

Schwachstelle CVE-2014-0455 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0455

Schwachstelle CVE-2014-0461 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0461

Schwachstelle CVE-2014-2412 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2412

Schwachstelle CVE-2014-0451 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0451