Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
OpenJDK 1.6.0
Betroffene Plattformen:
Debian Linux 6.0.9 Squeeze
Debian Linux 7.4 Wheezy
Debian Linux 8.0 Jessie
Es existieren mehrere Schwachstellen in OpenJDK 1.6.0, die ein zumeist
entfernter, nicht authentifizierter Angreifer für verschiedene Angriffe zur
Reduzierung der Vertraulichkeit, Integrität und Verfügbarkeit ausnutzen
kann. Die möglichen Auswirkungen sind sehr unterschiedlich und reichen bis
hin zum Erlangen von Administratorrechten.
Patch:
Debian Security Advisory DSA-2912
http://www.debian.org/security/2014/dsa-2912
CVE-2014-2405: Schwachstelle in OpenJDK
Es existiert eine nicht näher beschriebene Schwachstelle in OpenJDK 6, die
unbekannte Auswirkungen hat.
CVE-2014-0462: Schwachstelle in OpenJDK
Es existiert eine nicht näher beschriebene Schwachstelle in OpenJDK 6, die
unbekannte Auswirkungen hat.
CVE-2014-2403: Schwachstelle in Oracle Java SE, Java SE Embedded und JavaFX
Oracle Java SE, Java SE Embedded und JavaFX enthalten mehrere nicht näher
beschriebene Schwachstelle in den Komponenten AWT, Deployment, JAXP, 2D und
Scripting. Diese ermöglichen einem entfernten, nicht authentifizierten
Angreifer die Vertraulichkeit teilweise zu beeinträchtigen.
CVE-2014-2397: Schwachstelle in Oracle Java SE und Java SE Embedded
Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Hotspot. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer, die Kontrolle über das System zu
übernehmen und beliebigen Programmcode zur Ausführung zu bringen.
CVE-2014-0461: Schwachstelle in Oracle Java SE und Java SE Embedded
Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Libraries. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer, die Kontrolle über das System
zu übernehmen und beliebigen Programmcode zur Ausführung zu bringen.
CVE-2014-2421: Schwachstelle in Oracle Java SE, Java SE Embedded und JavaFX
Oracle Java SE, Java SE Embedded und JavaFX enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente 2D. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.
CVE-2014-2412 CVE-2014-0451 CVE-2014-0458 CVE-2014-2423 CVE-2014-0452
CVE-2014-2414 CVE-2014-0446 CVE-2014-2427: Schwachstelle in Oracle Java SE
und Java SE Embedded
Oracle Java SE und Java SE Embedded enthalten acht nicht näher beschriebene
Schwachstellen in den Komponenten AWT, JAX-WS, JAXB, Libraries, Security und
Sound. Diese ermöglichen einem entfernten, nicht authentifizierten Angreifer
die Vertraulichkeit, die Integrität und die Verfügbarkeit jeweils teilweise
zu beeinträchtigen.
CVE-2014-2398: Schwachstelle in Oracle Java SE, JRockit und JavaFX
Oracle Java SE, JRockit und JavaFX enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Javadoc. Diese ermöglicht einem entfernten,
authentifizierten Angreifer die Integrität teilweise zu beeinträchtigen.
CVE-2014-1876: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Libraries. Diese ermöglicht
einem lokalen, nicht authentifizierten Angreifer die Integrität und die
Verfügbarkeit jeweils teilweise zu beeinträchtigen.
CVE-2014-0460: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente JNDI. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und die
Integrität jeweils teilweise zu beeinträchtigen.
CVE-2014-0459: Schwachstelle in Oracle Java SE und Java SE Embedded
Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente 2D. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Verfügbarkeit teilweise zu beeinträchtigen.
CVE-2014-0457: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Libraries. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.
CVE-2014-0456: Schwachstelle in Oracle Java SE und Java SE Embedded
Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Hotspot. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit vollständig zu beeinträchtigen.
CVE-2014-0453: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Security. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und
die Integrität jeweils teilweise zu beeinträchtigen.
CVE-2014-0429: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente 2D. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0503/
Schwachstelle CVE-2014-1876 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1876
Schwachstelle CVE-2014-0429 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0429
Schwachstelle CVE-2014-0446 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0446
Schwachstelle CVE-2014-0451 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0451
Schwachstelle CVE-2014-0452 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0452
Schwachstelle CVE-2014-0453 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0453
Schwachstelle CVE-2014-0456 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0456
Schwachstelle CVE-2014-0457 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0457
Schwachstelle CVE-2014-0458 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0458
Schwachstelle CVE-2014-0459 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0459
Schwachstelle CVE-2014-0460 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0460
Schwachstelle CVE-2014-0461 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0461
Schwachstelle CVE-2014-2397 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2397
Schwachstelle CVE-2014-2398 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2398
Schwachstelle CVE-2014-2403 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2403
Schwachstelle CVE-2014-2412 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2412
Schwachstelle CVE-2014-2414 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2414
Schwachstelle CVE-2014-2421 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2421
Schwachstelle CVE-2014-2423 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2423
Schwachstelle CVE-2014-2427 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2427
Debian Security Advisory DSA-2912:
http://www.debian.org/security/2014/dsa-2912
Schwachstelle CVE-2014-0462 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0462
Schwachstelle CVE-2014-2405 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2405
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
