DFN-CERT-2015-0465 Oracle Java Runtime Environment(JRE): Eine Schwachstelle ermöglicht das Ausspähen von Informationen [VMware]

DFN-CERT-2015-0465 Oracle Java Runtime Environment(JRE): Eine Schwachstelle ermöglicht das Ausspähen von Informationen [VMware]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle JRE

Betroffene Plattformen:

VMware NSX-V 6.1
VMware vCenter Server 5.0
VMware vCenter Server 5.1
VMware vCenter Server 5.5
VMware vCenter Server 6.0
VMware vSphere Data Protection 5.1
VMware vSphere Data Protection 5.5
VMware vSphere Data Protection 5.8
VMware vSphere Data Protection 6.0
vSphere Update Manager 5.0
vSphere Update Manager 5.1
vSphere Update Manager 5.5
vSphere Update Manager 6.0

Eine Schwachstelle im Oracle Java Runtime Environment ermöglicht einem
entfernten, nicht authentisierten Angreifer das Erzwingen einer
unverschlüsselten Verbindung und damit das Ausspähen und Manipulieren von
Daten.
VMware informiert über die Betroffenheit verschiedener Produkte und stellt
für erste Sicherheitsupdates zur Verfügung. Neben dieser von VMware als
kritisch eingestuften Schwachstelle, werden für einige Produkte auch
Schwachstellen adressiert, die über das Oracle JRE 1.7 Update 75 und JRE 1.6
Update 91 behoben wurden.

Patch:

VMware Security Advisory VMSA-2015-0003

https://www.vmware.com/security/advisories/VMSA-2015-0003.html

CVE-2014-6593: Schwachstelle in JSSE-Komponente von Oracle Java SE, Java SE
Embedded und JRockit

Die SSL/TLS-Implementierung in der JSSE-Komponente von Oracle Java SE, Java
SE Embedded und JRockit überprüft nicht korrekt, ob die ChangeCipherSpec
während des SSL/TLS-Connection-Handshake empfangen wurde. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle mit Hilfe einer
Man-in-the-middle-Attacke ausnutzen, um die Herstellung einer
unverschlüsselten Verbindung zu erzwingen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0465/

Schwachstelle CVE-2014-6593 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6593

VMware Security Advisory VMSA-2015-0003:
https://www.vmware.com/security/advisories/VMSA-2015-0003.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben