DFN-CERT-2012-0909 Mehrere Schwachstellen in IBM Java 1.6.0 [Linux][SuSE]

DFN-CERT-2012-0909 Mehrere Schwachstellen in IBM Java 1.6.0 [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket IBM Java 1.6.0

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP2
SUSE Linux Enterprise Software Development Kit 11 SP1
SUSE Linux Enterprise Server 11 SP2
SUSE Linux Enterprise Server 11 SP1 for VMware
SUSE Linux Enterprise Server 11 SP1
SUSE Linux Enterprise Server 10 SP4
SUSE Linux Enterprise Java 11 SP1
SUSE Linux Enterprise Java 10 SP4

Mehrere Schwachstellen in Java ermöglichen einem entfernten Angreifer das
Umgehen der Beschränkungen der Java Sandbox und dadurch schlimmstenfalls das
Ausführen von beliebigem Code.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.opensuse.org/update/

CVE-2012-0507: Schwachstelle in Java-Klasse AtomicReferenceArray

In der Java Implementierung der Klasse AtomicReferenceArray wird nicht
fehlerfrei überprüft ob ein Feld dem erwarteten Typ entspricht. Ein
entfernter Angreifer kann mittels einer präparierten Java Anwendung oder
mittels eines präparierten Java Applets die Einschränkungen der Java Sandbox
umgehen.

CVE-2012-0498: Schwachstelle in Java

Eine nicht näher beschriebene Schwachstelle in der Java Runtime Environment
(JRE) in Version SE 7 Update 2, 6 Update 30 und 5.0 Update 33 oder früher
erlaubt einem entfernten Angreifer eine Beeinträchtigung der Verfügbarkeit,
Integrität und Vertraulichkeit der 2D-Funktionen.

CVE-2012-0499: Schwachstelle in Java

Eine nicht näher Beschriebene Schwachstelle in der Java Runtime Environment
(JRE) in Version SE 7 Update 2, 6 Update 30, 5.0 Update 33, 1.4.2_35 und
JavaFX 2.0.2 oder früher, erlauben einem entfernten Angreifer die
Vertraulichkeit, Integrität und Verfügbarkeit der 2D-Funktionen zu
beeinträchtigen.

CVE-2012-0500: Schwachstelle in Java

Eine nicht näher beschriebene Schwachstelle in der Java Runtime Environment
(JRE) in Version SE 7 Update 2, 6 Update 30 und JavaFX 2.0.2 oder früher
erlaubt einem entfernten Angreifer durch nicht vertrauenswürdige Java Web
Start-Anwendungen und Java-Applets die Vertraulichkeit, Integrität und
Verfügbarkeit der Deployment-Funktionen zu beeinträchtigen.

CVE-2011-3563: Schwachstelle in Java Sound-Komponente

Die Java Sound Komponente überprüft Puffergrenzen nicht fehlerfrei. Einem
entfernter Angreifer ermöglicht dies durch eine präparierte Eingabe, eine
präparierte Java Anwendung oder ein präpariertes Applet einen Buffer
Overflow zu erzeugen und dadurch einen Absturz der JVM (Java Virtual
Machine) zu provozieren oder Zugriff auf einen Teil des Speichers der JVM zu
erlangen.

CVE-2012-0501: Schwachstelle in Implementierung von UNZIP in Java

Die Implementierung des Entpackers von ZIP-Archiven in Java enthält einen
Fehler bei der Indizierung, welcher zu einem Stack Overflow führt. Dies
ermöglicht einem entfernten Angreifer durch die Verwendung eines
präparierten ZIP-Archiv die JVM (Java Virtual Machine) beim Öffnen dieses
Archivs zum Absturz zu bringen (Denial-of-Service).

CVE-2012-0503: Schwachstelle in Java

Der SecurityManager in Java versäumt es den Zugriff auf die Funktion
TimeZone.setDefault() zu beschränken. Dies ermöglicht einem entfernten
Angreifer durch die Verwendung einer präparierten Java Anwendung oder eines
präparierten Java Applets, eine neue “Default”-Zeitzone zu setzen.

CVE-2012-0505: Schwachstelle in Java

In Java enthält die Exception, welche bei einem Deserialisierungs-Fehler
geworfen wird, nicht immer eine genaue Identifikation der Ursache des
Fehlers. Dies ermöglicht einem entfernten Angreifer durch die Verwendung
einer präparierten Java Anwendung oder eines präparierten Java Applets, die
Beschränkungen der Java Sandbox zu umgehen.

CVE-2012-0497: Schwachstelle in Java2D Komponente

Die Java2D Komponente überprüft Objekte zum Rendern von Grafiken nicht
fehlerfrei. Einem entfernter Angreifer ermöglicht dies durch eine
präparierte Eingabe, eine präparierte Java Anwendung oder ein präpariertes
Applet einen Absturz der JVM (Java Virtual Machine) zu provozieren oder die
Beschränkungen der Java Sandbox zu umgehen.

CVE-2012-0506: Schwachstelle in CORBA Implementierung in Java

In der CORBA (Common Object Request Broker Architecture) Implementierung in
Java werden die Bezeichner der “Repositories” einiger CORBA-Objekte nicht
geschützt. Dies ermöglicht einem entfernten Angreifer nicht-veränderbare
Objekte zu modifizieren.

CVE-2012-0502: Schwachstelle im AWT KeyboardFocusManager

Der AWT KeyboardFocusManager in Java enthält eine nicht näher spezifizierte
Schwachstelle, welche es einem entfernten Angreifer durch die Verwendung
einer präparierten Java Anwendung oder eines präparierten Java Applets
ermöglicht, Zugriff auf sensitive Informationen zu erlangen.

CVE-2011-5035: Schwachstelle in Java

Java berechnet in einigen Komponenten Hashwerte ohne die Möglichkeit
einzuschränken, vorhersagbar Hash-Kollisionen zu erzeugen. Dies ermöglicht
einem entfernten Angreifer durch das Senden von Hash-Kollisionen an
betroffene Anwendungen einen Denial-of-Service Zustand (Auslastung der CPU)
herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0909/

Das Hersteller Advisory:
http://www.novell.com/linux/security/securitysupport.html

Schwachstelle CVE-2011-3563:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3563

Schwachstelle CVE-2011-5035:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5035

Schwachstelle CVE-2012-0497:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0497

Schwachstelle CVE-2012-0498:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0498

Schwachstelle CVE-2012-0499:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0499

Schwachstelle CVE-2012-0500:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0500

Schwachstelle CVE-2012-0501:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0501

Schwachstelle CVE-2012-0502:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0502

Schwachstelle CVE-2012-0503:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0503

Schwachstelle CVE-2012-0505:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0505

Schwachstelle CVE-2012-0506:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0506

Schwachstelle CVE-2012-0507:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0507

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben