Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
IBM Java 1.6.0
IBM Java 1.7.0
IBM Java 1.7.1
IBM Java 1.8.0
Betroffene Plattformen:
Red Hat Enterprise Linux Desktop Supplementary 5 Client
Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Enterprise Linux Desktop Supplementary 7
Red Hat Enterprise Linux HPC Node Supplementary 6
Red Hat Enterprise Linux HPC Node Supplementary 7
Red hat Enterprise Linux Server Supplementary 5
Red hat Enterprise Linux Server Supplementary 6
Red hat Enterprise Linux Server Supplementary 6.7.z EUS
Red hat Enterprise Linux Server Supplementary 7
Red Hat Enterprise Linux Workstation Supplementary 6
Red Hat Enterprise Linux Workstation Supplementary 7
Mehrere Schwachstellen in IBM Java ermöglichen einem entfernten, nicht
authentisierten Angreifer die Übernahme des Systems und damit auch das
Ausführen beliebigen Programmcodes, die Manipulation und das Ausspähen von
Daten sowie das Bewirken eines Denial-of-Service (DoS)-Zustandes.
Red Hat stellt für verschiedene Red Hat Enterprise Linux 5, 6 und 7
Varianten Sicherheitsupdates für IBM Java 1.6.0, 1.7.0, 1.7.1 und 1.8.0
bereit. Die Schwachstellen CVE-2015-4810, CVE-2015-4840 und CVE-2015-4871
betreffen nicht die Version 1.6.0.
Die IBM Java SE Versionen beinhalten jeweils das IBM Java Runtime
Environment und das IBM Java Software Development Kit (JDK).
Patch:
Red Hat Security Advisory RHSA-2015:2506
http://rhn.redhat.com/errata/RHSA-2015-2506.html
Patch:
Red Hat Security Advisory RHSA-2015:2507
http://rhn.redhat.com/errata/RHSA-2015-2507.html
Patch:
Red Hat Security Advisory RHSA-2015:2508
http://rhn.redhat.com/errata/RHSA-2015-2508.html
Patch:
Red Hat Security Advisory RHSA-2015:2509
http://rhn.redhat.com/errata/RHSA-2015-2509.html
CVE-2015-5006: Schwachstelle in IBM JDK ermöglicht Ausspähen von
Informationen
Eine Schwachstelle im IBM JDK ermöglicht einem lokalen, nicht
authentisierten Angreifer das Auslesen von Kerberos Credentials aus dem
Cache. Das IBM Java Software Development Kit (JDK) ist jeweils Bestandteil
der betroffenen IBM Java SE Versionen, der von IBM gepflegten Varianten von
Oracle Java SE.
CVE-2015-4903: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente RMI von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert eine Untermenge der über Java SE, Java
SE Embedded zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4902: Schwachstelle in Java SE ermöglicht Manipulation von Dateien
Eine leicht auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 6u101, Java SE 7u85 und Java SE 8u60 ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
unautorisiert einige über Java SE zugreifbare Daten einzufügen, zu verändern
oder zu löschen. Diese Schwachstelle betrifft ausschließlich Client
Installationen von Java und kann nur über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4893: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60, Java SE Embedded 8u51 und in
JRockit R28.3.7 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einen partiellen
Denial-of-Service (DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft
Client und Server Installationen von Java und kann über Sandboxed Java Web
Start Anwendungen und Sandboxed Java Applets ausgenutzt werden. Die
Schwachstelle kann auch durch direkte Datenübermittlung an APIs in der
spezifischen Komponente ausgenutzt werden, z.B. durch Web Services.
CVE-2015-4883: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente RMI von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4882: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Denial-of-Service
Eine leicht auszunutzende Schwachstelle in der Subkomponente CORBA von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert einen partiellen Denial-of-Service
(DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft ausschließlich
Client Installationen von Java und kann nur über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4872: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht die Manipulation von Dateien
Eine leicht auszunutzende Schwachstelle in der Subkomponente Security von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60, Java SE Embedded 8u51 und
JRockit R28.3.7 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einige über Java SE,
Java SE Embedded, JRockit zugreifbare Daten einzufügen, zu verändern oder zu
löschen. Diese Schwachstelle betrifft Client und Server Installationen von
Java und kann über Sandboxed Java Web Start Anwendungen und Sandboxed Java
Applets ausgenutzt werden. Die Schwachstelle kann auch durch direkte
Datenübermittlung an APIs in der spezifischen Komponente ausgenutzt werden,
z.B. durch Web Services.
CVE-2015-4871: Schwachstelle in Java SE ermöglicht Ausspähen von
Informationen und Manipulation von Dateien
Eine schwer auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 7u85 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einige über Java SE
zugreifbare Daten einzufügen, zu verändern oder zu löschen und eine
Untermenge der über Java SE zugreifbaren Daten zu lesen. Diese Schwachstelle
betrifft ausschließlich Client Installationen von Java und kann nur über
Sandboxed Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2015-4860: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente RMI von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4844: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4843: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4842: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert eine Untermenge der über Java SE, Java
SE Embedded zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4840: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51 ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
unautorisiert eine Untermenge der über Java SE, Java SE Embedded
zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft ausschließlich
Client Installationen von Java und kann nur über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4835: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente CORBA von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4810: Schwachstelle in Java SE ermöglicht das Ausführen beliebigen
Programmcodes
Eine schwer auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 7u85 und Java SE 8u60 ermöglicht einem lokalen, am
Betriebssystem angemeldeten Angreifer über verschiedene Protokolle
unautorisiert das Betriebssystem komplett zu übernehmen und somit auch
beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4806: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen und Manipulation von Dateien
Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert einige über Java SE, Java SE Embedded
zugreifbare Daten einzufügen, zu verändern oder zu löschen und eine
Untermenge der über Java SE, Java SE Embedded zugreifbaren Daten zu lesen.
Diese Schwachstelle betrifft ausschließlich Client Installationen von Java
und kann nur über Sandboxed Java Web Start Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
CVE-2015-4805: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Ausführen beliebigen Programmcodes
Eine leicht auszunutzende Schwachstelle in der Subkomponente Serialization
von Oracle Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded
8u51 ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-4803: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60, Java SE Embedded 8u51 und in
JRockit R28.3.7 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einen partiellen
Denial-of-Service (DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft
Client und Server Installationen von Java und kann über Sandboxed Java Web
Start Anwendungen und Sandboxed Java Applets ausgenutzt werden, aber auch
ohne diese durch Datenübermittlung an APIs in der spezifischen Komponente,
z.B. durch einen Web Service.
CVE-2015-4734: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente JGSS von Oracle
Java SE 6u101, Java SE 7u85, Java SE 8u60 und Java SE Embedded 8u51
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert eine Untermenge der über Java SE, Java
SE Embedded zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1812/
Schwachstelle CVE-2015-4734 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4734
Schwachstelle CVE-2015-4803 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4803
Schwachstelle CVE-2015-4805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4805
Schwachstelle CVE-2015-4806 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4806
Schwachstelle CVE-2015-4810 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4810
Schwachstelle CVE-2015-4835 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4835
Schwachstelle CVE-2015-4840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4840
Schwachstelle CVE-2015-4842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4842
Schwachstelle CVE-2015-4843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4843
Schwachstelle CVE-2015-4844 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4844
Schwachstelle CVE-2015-4860 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4860
Schwachstelle CVE-2015-4871 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4871
Schwachstelle CVE-2015-4872 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4872
Schwachstelle CVE-2015-4882 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4882
Schwachstelle CVE-2015-4883 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4883
Schwachstelle CVE-2015-4893 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4893
Schwachstelle CVE-2015-4902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4902
Schwachstelle CVE-2015-4903 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4903
Schwachstelle CVE-2015-5006 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5006
Red Hat Security Advisory RHSA-2015:2506:
http://rhn.redhat.com/errata/RHSA-2015-2506.html
Red Hat Security Advisory RHSA-2015:2507:
http://rhn.redhat.com/errata/RHSA-2015-2507.html
Red Hat Security Advisory RHSA-2015:2508:
http://rhn.redhat.com/errata/RHSA-2015-2508.html
Red Hat Security Advisory RHSA-2015:2509:
http://rhn.redhat.com/errata/RHSA-2015-2509.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
