DFN-CERT-2015-0296 ICU: Mehrere Schwachstellen ermöglichen das Ausführen von beliebigem Programmcode [Linux]

DFN-CERT-2015-0296 ICU: Mehrere Schwachstellen ermöglichen das Ausführen von beliebigem Programmcode [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

International Components for Unicode library

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10

Mehrere Schwachstellen in der International Components for Unicode library
(ICU) ermöglichen es einem entfernten, nicht authentifizierten Angreifer
Informationen auszuspähen, Denial-of-Service-Angriffe durchzuführen oder das
Ausführen von beliebigem Programmcode.

Die Schwachstellen CVE-2013-1569, CVE-2013-2383, CVE-2013-2384 und
CVE-2013-2419 betreffen nur die Distribution Ubuntu 12.04 LTS.

Patch:

Ubuntu Security Notice USN-2522-1

http://www.ubuntu.com/usn/usn-2522-1/

CVE-2014-9654: Schwachstelle in ICU ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in der Collator-Implementation in i18n/ucol.cpp in
International Components for Unicode (ICU) führt dazu, dass der
Speicherbereich für eine Datenstruktur nicht korrekt initialisiert wird. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-7926: Speicher-Korruptions-Schwachstelle in ICU erlaubt Ausführen
beliebigen Programmcodes

Eine Speicher-Korruptions-Schwachstelle wurde in ICU festgestellt. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um den Browser zum Absturz zu bringen (Denial-of-Service) oder
möglicherweise beliebigen Programmcode auszuführen.

CVE-2014-7923: Speicher-Korruptions-Schwachstelle in ICU erlaubt Ausführen
beliebigen Programmcodes

Eine Speicher-Korruptions-Schwachstelle wurde in ICU festgestellt. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um den Browser zum Absturz zu bringen (Denial-of-Service) oder
möglicherweise beliebigen Programmcode auszuführen.

CVE-2014-7940: Schwachstelle in ICU erlaubt Denial-of-Service

Eine Schwachstelle in der Collator-Implementation in i18n/ucol.cpp in
International Components for Unicode (ICU) führt dazu, dass ein bestimmter
Wert nicht korrekt initialisiert wird. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Angriff durchzuführen.

CVE-2014-6591: Schwachstelle in 2D-Komponente von Oracle Java SE ermöglicht
Ausspähen von Informationen

Im “Font Parsing”-Code der 2D-Komponente von Oracle Java SE existieren
mehrere “Boundary Check”-Fehler. Eine speziell manipulierte Font Datei kann
einer nicht vertrauenswürdigen Java-Anwendung oder einem nicht
vertrauenswürdigen Java-Applet ermöglichen, Teile des Speichers der Java
Virtual Machine offenzulegen.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Informationen auszuspähen.

CVE-2014-6585: Schwachstelle in 2D-Komponente von Oracle Java SE ermöglicht
Ausspähen von Informationen

Im “Font Parsing”-Code der 2D-Subkomponente von Oracle Java SE existieren
mehrere “Boundary Check”-Fehler. Eine speziell manipulierte Font Datei kann
einer nicht vertrauenswürdigen Java-Anwendung oder einem nicht
vertrauenswürdigen Java-Applet ermöglichen, Teile des Speichers der Java
Virtual Machine offenzulegen.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Informationen auszuspähen.

CVE-2013-2419: Schwachstelle in Java 2D ermöglicht Denial-of-Service-Angriff

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten, die es nicht vertrauenswürdigen Applets
und Web-Start-Anwendungen erlaubt aus der Java-Sandbox auszubrechen.
Betroffen sind die Versionen 7 Update 17 und davor, 6 Update 43 und davor,
5.0 Update 41 und davor. Diese ermöglicht einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen.

CVE-2013-2383: Schwachstelle in Layout Engine ermöglicht das Ausführen von
beliebigem Programmcode

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Layout Engine der Komponente “2D” enthalten, die es nicht
vertrauenswürdigen Applets und Web-Start-Anwendungen erlaubt aus der
Java-Sandbox auszubrechen. Betroffen sind die Versionen 7 Update 17 und
davor, 6 Update 43 und davor, 5.0 Update 41 und davor. Diese ermöglicht
einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode
auszuführen.

CVE-2013-1569: Schwachstelle in Java 2D ermöglicht das Ausführen von
beliebigem Programmcode

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten, die es einem nicht vertrauenswürdigem
Applet oder Web-Start-Anwendung ermöglicht aus der Java Sandbox
auszubrechen. Betroffen sind die Versionen 7 Update 17 und davor, 6 Update
43 und davor, 5.0 Update 41 und davor. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer das Ausführen von beliebigem Programmcode.

CVE-2013-2384: Schwachstelle in Java 2D ermöglicht das Ausführen von
beliebigem Programmcode

In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
in der Komponente “2D” enthalten, die es einem nicht vertrauenswürdigem
Applet oder Web-Start-Anwendung ermöglicht aus der Java Sandbox
auszubrechen. Betroffen sind die Versionen 7 Update 17 und davor, 6 Update
43 und davor, 5.0 Update 41 und davor. Diese ermöglicht einem entfernten,
nicht authentifizierten Angreifer beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0296/

Schwachstelle CVE-2013-1569 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1569

Schwachstelle CVE-2013-2383 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2383

Schwachstelle CVE-2013-2384 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2384

Schwachstelle CVE-2013-2419 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2419

Schwachstelle CVE-2014-6585 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6585

Schwachstelle CVE-2014-6591 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6591

Schwachstelle CVE-2014-7923 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7923

Schwachstelle CVE-2014-7926 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7926

Schwachstelle CVE-2014-7940 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7940

Ubuntu Security Notice USN-2522-1:
http://www.ubuntu.com/usn/usn-2522-1/

Schwachstelle CVE-2014-9654 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9654

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben