DFN-CERT-2012-1727 Mehrere Schwachstellen in IBM Java 1.6.0 [Linux][RedHat]

DFN-CERT-2012-1727 Mehrere Schwachstellen in IBM Java 1.6.0 [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket java-1.6.0-ibm

Betroffene Plattformen:

Red Hat Enterprise Linux Desktop Supplementary (v. 5) – i386, x86_64
Red Hat Enterprise Linux Desktop Supplementary (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node Supplementary (v. 6) – x86_64
Red Hat Enterprise Linux Server Supplementary (v. 5) – i386, ppc, s390x,
x86_64
Red Hat Enterprise Linux Server Supplementary (v. 6) – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation Supplementary (v. 6) – i386, x86_64

Mehrere Schwachstellen in IBM Java 1.6.0 ermöglichen einem entfernten
Angreifer schlimmstenfalls beliebige Befehle im Kontext der JVM auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2012-1716: Schwachstelle in Java Swing

In der Java-Komponente Swing in der Klasse SynthLookAndFeel, welche dazu
dient, dass GUI-Elemente mittels einer XML-Datei definiert werden, besteht
eine Schwachstelle. Da SynthLookAndFeel den Zugriff auf bestimmte
GUI-Elemente außerhalb des Kontexts der Anwendung nicht hinreichend
einschränkt, können entfernte Angreifer mittels einer präparieren
Java-Applikation die Java Virtual Machine zum Absturz bringen oder
Restriktionen der Java-Sandbox umgehen.

CVE-2012-1717: Unsichere Erzeugung von temporären Dateien in Java

In diversen Klassen der Java Runtime Standard-Bibliothek werden temporären
Dateien mit unsicheren Zugriffsrechten erzeugt. Dies erlaubt lokalen
Angreifern auf möglicherweise sensible Informationen aus den temporären
Dateien zuzugreifen.

CVE-2012-1719: Schwachstelle in Java CORBA

In der Java-Komponente CORBA besteht ein Fehler im Stub-Generator, welche es
einem entfernten Angreifer ermöglicht die Integrität der Daten im System
teilweise zu beeinträchtigen.

CVE-2012-1721, CVE-2012-1722: Schwachstellen in der Deployment-Komponente
von Java

In der Deployment-Komponente von Java bestehen zwei nicht näher
spezifizierte Schwachstellen die entfernten Angreifern ermöglichen,
beliebigen Code zur Ausführung zu bringen.

CVE-2012-1713: Schwachstellen in der Java 2D-Subkomponente

In der Java 2D-Subkomponente bestehen Fehler in der Implementierung
bestimmter Layout-Operationen im Fontmanager. Diese erlauben einem
entfernten Angreifer mittels einer präparierten Font-Datei, welche durch die
JVM geladen werden muss, beliebige Befehle im Kontext der JVM auszuführen.

CVE-2012-1725: Schwachstelle in der HotSpot Java Virtual Machine

Die HotSpot Java Virtual Machine (JVM) verifiziert die Opcode-Instruktion
“invokespecial” nicht ausreichend vor Verwendung. Ein entfernter Angreifer
kann dies ausnutzen, um mittels einer präparieren Klassendefinition
Methodenaufrufe zur Basisklasse zu unterbinden und somit Restriktionen der
Java-Sandbox zu umgehen.

CVE-2012-1718: Schwachstelle in den Java Security Klassen

In den “Java Security”-Klassen werden Certificate Revocation Lists (CRL)
nicht richtig verarbeitet. Sind Einträge mit doppelten Seriennummern von
Zertifikaten vorhanden, so werden diese ignoriert. Dies kann
schlimmstenfalls dazu führen, dass unter Umständen zurückgezogene
Zertifikate als valide akzeptiert werden.

CVE-2012-0551: Schwachstelle im GlassFish Enterprise Server

Der GlassFish Enterprise Server in der Version 3.1.1 enthält im ‘Web
Container’ eine Schwachstelle, welche es einem entfernten Angreifer
ermöglicht die Integrität und die Vertraulichkeit der Daten im System
teilweise zu beeinträchtigen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1727/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-1238.html

Schwachstelle CVE-2012-0551:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0551

Schwachstelle CVE-2012-1713:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1713

Schwachstelle CVE-2012-1716:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1716

Schwachstelle CVE-2012-1717:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1717

Schwachstelle CVE-2012-1718:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1718

Schwachstelle CVE-2012-1719:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1719

Schwachstelle CVE-2012-1721:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1721

Schwachstelle CVE-2012-1722:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1722

Schwachstelle CVE-2012-1725:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1725

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben