DFN-CERT-2014-0918 OpenJDK: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle [Linux][RedHat]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Enterprise Linux 5 Client/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 5 Server/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 6 Client/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 6 Computenode/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 6 Server/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 6 Workstation/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 7 Client/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 7 Computenode/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 7 Server/Java-1.7.0-Openjdk
Red Hat Enterprise Linux 7 Workstation/Java-1.7.0-Openjdk

Betroffene Plattformen:

Red Hat Enterprise Linux 5 Server
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.5 AUS
Red Hat Enterprise Linux Server 6.5.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7

Mehrere Schwachstellen können von einem entfernten, nicht authentifizierten
Angreifer ausgenutzt werden, um beliebige Befehle auszuführen, Daten zu
manipulieren, Daten zu lesen oder einen Denial-of-Service-Zustand
herbeizuführen.

Patch:

Redhat Security Advisory RHSA-2014:0890

http://rhn.redhat.com/errata/RHSA-2014-0890.html

Patch:

Redhat Security Advisory RHSA-2014:0889

http://rhn.redhat.com/errata/RHSA-2014-0889.html

CVE-2014-4263: Schwachstelle in Oracle Java SE und JRockit

Es existiert eine Schwachstelle in der Sicherheitskomponente von Java SE und
JRockit, die über mehrere Protokolle über das Netzwerk z.B. über Java Web
Start Anwendungen und Java Applets ausgenutzt werden können. Die
Implementierung des Diffie-Hellman (DH) Schlüsselaustausch-Algorithmus
überprüft die öffentlichen Diffie-Hellman-Parameter nicht richtig. Betroffen
sind Client- und Server-Installationen. Ein entfernter, nicht angemeldeter
Angreifer kann diese Schwachstelle ausnutzen, um Daten zu manipulieren und
zu lesen.

CVE-2014-4244: Schwachstelle in Oracle Java SE und JRockit

Es existiert eine Schwachstelle in der Sicherheitskomponente von Java SE und
JRockit, die über mehrere Protokolle über das Netzwerk z.B. über Java Web
Start Anwendungen und Java Applets ausgenutzt werden können. Der
RSA-Algorithmus führt das “blinding”, während der Benutzung privater
Schlüssel, nicht richtig durch. Betroffen sind Client- und
Server-Installationen. Ein entfernter, nicht angemeldeter Angreifer kann
diese Schwachstelle ausnutzen, um Daten zu manipulieren und zu lesen.

CVE-2014-4223 CVE-2014-4262 CVE-2014-2483: Schwachstellen in Oracle Java SE

Es existieren drei Schwachstellen in der Komponente Libraries von Java SE,
die über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden können. Mehrere
Berechtigungsprüfungen funktionieren nicht korrekt. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstellen ausnutzen, um beliebige Befehle zu Ausführung zu
bringen.

CVE-2014-4216 CVE-2014-4219: Schwachstellen in Oracle Java SE

Es existieren zwei Schwachstellen in der Komponente Hotspot von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden können. Bytecode aus den
Class-Dateien wird nicht richtig überprüft. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstellen ausnutzen, um beliebige Befehle zu Ausführung zu
bringen.

CVE-2014-4209 CVE-2014-4218 CVE-2014-4221 CVE-2014-4252 CVE-2014-4266:
Schwachstellen in Oracle Java SE

Es existieren mehrere nicht näher beschriebene Schwachstellen in den
Komponenten JMX, Libraries, Security, und Serviceability von Java SE, die
über mehrere Protokolle über das Netzwerk z.B. über Java Web Start
Anwendungen und Java Applets ausgenutzt werden können. Betroffen sind nur
Client-Installationen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstellen ausnutzen, um Daten zu manipulieren und zu lesen.

CVE-2014-2490: Schwachstelle in Oracle Java SE

Es existiert eine Format-String-Schwachstelle im Event-Logger der Komponente
Hotspot von Java SE, die über mehrere Protokolle über das Netzwerk z.B. über
Java Web Start Anwendungen und Java Applets ausgenutzt werden kann.
Betroffen sind nur Client-Installationen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige
Befehle zu Ausführung zu bringen oder Denial-of-Service-Angriffe
durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0918/

Redhat Security Advisory RHSA-2014:0890:
http://rhn.redhat.com/errata/RHSA-2014-0890.html

Schwachstelle CVE-2014-2483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2483

Schwachstelle CVE-2014-2490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2490

Schwachstelle CVE-2014-4209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4209

Schwachstelle CVE-2014-4216 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4216

Schwachstelle CVE-2014-4218 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4218

Schwachstelle CVE-2014-4219 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4219

Schwachstelle CVE-2014-4221 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4221

Schwachstelle CVE-2014-4223 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4223

Schwachstelle CVE-2014-4244 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4244