DFN-CERT-2014-0474 Oracle Java 1.7.0: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten [Linux][RedHat]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Java SE < 7u55 Betroffene Plattformen: Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux 6 Workstation Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop Supplementary 6 Red Hat Enterprise Linux Desktop Supplementary v.5 client Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node Supplementary 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red hat Enterprise Linux Server Supplementary 5 Red hat Enterprise Linux Server Supplementary 6 Red Hat Enterprise Linux Workstation Supplementary 6 Red Hat Enterprise Linux Server Supplementary AUS 6.5 Red Hat Enterprise Linux Server Supplementary EUS 6.5.z Es existieren mehrere Schwachstellen in Oracle Java 1.7.0, die ein zumeist entfernter, nicht authentifizierter Angreifer für verschiedene Angriffe zur Reduzierung der Vertraulichkeit, Integrität und Verfügbarkeit ausnutzen kann. Die möglichen Auswirkungen sind sehr unterschiedlich und reichen bis hin zum Erlangen von Administratorrechten. Patch: Red Hat Security Advisory RHSA-2014:0412-1 http://rhn.redhat.com/errata/RHSA-2014-0412.html

Patch:

Red Hat Security Advisory RHSA-2014:0413-2

http://rhn.redhat.com/errata/RHSA-2014-0413.html

CVE-2014-2397 CVE-2014-0432 CVE-2014-0455 CVE-2014-0461: Schwachstelle in
Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten mehrere nicht näher
beschriebene Schwachstellen in den Komponenten Hotspot und Libraries. Diese
ermöglichen einem entfernten, nicht authentifizierten Angreifer die
Vertraulichkeit, die Integrität und die Verfügbarkeit vollständig zu
beeinträchtigen.

CVE-2013-6629 CVE-2014-0449 CVE-2014-2403 CVE-2014-2401: Schwachstelle in
Oracle Java SE, Java SE Embedded und JavaFX

Oracle Java SE, Java SE Embedded und JavaFX enthalten mehrere nicht näher
beschriebene Schwachstellen in den Komponenten Deployment, JAXP und 2D.
Diese ermöglichen einem entfernten, nicht authentifizierten Angreifer die
Vertraulichkeit teilweise zu beeinträchtigen.

CVE-2014-2428: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Deployment. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-2422: Schwachstelle in Oracle Java SE und JavaFX

Oracle Java SE und JavaFX enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente JavaFX. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-2421: Schwachstelle in Oracle Java SE, Java SE Embedded und JavaFX

Oracle Java SE, Java SE Embedded und JavaFX enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente 2D. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-2420: Schwachstelle in Oracle Java SE und Java SE Embedded

CVE-2014-2413: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Libraries. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Integrität teilweise zu
beeinträchtigen.

CVE-2014-2412 CVE-2014-0451 CVE-2014-0458 CVE-2014-2423 CVE-2014-0452
CVE-2014-2414 CVE-2014-0446 CVE-2014-2427: Schwachstelle in Oracle Java SE
und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten acht nicht näher beschriebene
Schwachstellen in den Komponenten AWT, JAX-WS, JAXB, Libraries, Security und
Sound. Diese ermöglichen einem entfernten, nicht authentifizierten Angreifer
die Vertraulichkeit, die Integrität und die Verfügbarkeit jeweils teilweise
zu beeinträchtigen.

CVE-2014-2409: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Deployment. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und die
Integrität jeweils teilweise zu beeinträchtigen.

CVE-2014-2402: Schwachstelle in Oracle Java SE und Java SE Embedded

CVE-2014-2398: Schwachstelle in Oracle Java SE, JRockit und JavaFX

Oracle Java SE, JRockit und JavaFX enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Javadoc. Diese ermöglicht einem entfernten,
authentifizierten Angreifer die Integrität teilweise zu beeinträchtigen.

CVE-2014-1876: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Libraries. Diese ermöglicht
einem lokalen, nicht authentifizierten Angreifer die Integrität und die
Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-0460: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente JNDI. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und die
Integrität jeweils teilweise zu beeinträchtigen.

CVE-2014-0459: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente 2D. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Verfügbarkeit teilweise zu beeinträchtigen.

CVE-2014-0457: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Libraries. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-0456: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Hotspot. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-0454: Schwachstelle in Oracle Java SE und Java SE Embedded

Oracle Java SE und Java SE Embedded enthalten eine nicht näher beschriebene
Schwachstelle in der Komponente Security. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer die Vertraulichkeit, die Integrität und
die Verfügbarkeit jeweils teilweise zu beeinträchtigen.

CVE-2014-0453: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente Security. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer die Vertraulichkeit und
die Integrität jeweils teilweise zu beeinträchtigen.

CVE-2014-0448: Schwachstelle in Oracle Java SE

Oracle Java SE enthält eine nicht näher beschriebene Schwachstelle in der
Komponente Deployment. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Vertraulichkeit, die Integrität und die
Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2014-0429: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente 2D. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit vollständig zu beeinträchtigen.

CVE-2013-6954: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit

Oracle Java SE, Java SE Embedded und JRockit enthalten eine nicht näher
beschriebene Schwachstelle in der Komponente AWT. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer die Verfügbarkeit teilweise zu
beeinträchtigen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0474/

Schwachstelle CVE-2013-6629 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6629

Schwachstelle CVE-2013-6954 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6954

Schwachstelle CVE-2014-1876 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1876

Schwachstelle CVE-2014-0429 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0429

Schwachstelle CVE-2014-0457 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0457

Schwachstelle CVE-2014-0456 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0456

Schwachstelle CVE-2014-2421 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2421

Schwachstelle CVE-2014-2397 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2397

Schwachstelle CVE-2014-0432 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0432

Schwachstelle CVE-2014-0455 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0455