DFN-CERT-2016-0554 Oracle Java SE, Java SE Embedded, JRockit: Zwei Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Netzwerk]

DFN-CERT-2016-0554 Oracle Java SE, Java SE Embedded, JRockit: Zwei Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Java SE 6u105
Oracle Java SE 7u91
Oracle Java SE 8u66
Oracle Java SE Embedded 8u65
Oracle JRockit R28.3.8

Betroffene Plattformen:

F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Zwei Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentifizierten Angreifer das Erlangen von Administratorrechten und einen Denial-of-Service-Angriff. F5 Networks informiert darüber, welche Produkte und Programmversionen von den Schwachstellen betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module in den Versionen 10.1.0 - 10.2.4 und 11.4.0 - 11.4.1 betroffen. Es stehen bisher keine Sicherheitsupdates zur Verfügung. CVE-2016-0483: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht das Erlangen von Administratorrechten Eine leicht auszunutzende Schwachstelle in der Subkomponente AWT von Oracle Java SE 6u105, Java SE 7u91, Java SE 8u66, Java SE Embedded 8u65 und JRockit R28.3.8 ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft Client und Server Installationen von Java und kann über Sandboxed Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden, aber auch ohne diese durch Datenübermittlung an APIs in der spezifischen Komponente, z.B. durch einen Web Service. CVE-2016-0466: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle Java SE 6u105, Java SE 7u91, Java SE 8u66, Java SE Embedded 8u65 und JRockit R28.3.8 ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle unautorisiert einen partiellen Denial-of-Service (DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft Client und Server Installationen von Java und kann über Sandboxed Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden, aber auch ohne diese durch Datenübermittlung an APIs in der spezifischen Komponente, z.B. durch einen Web Service. Referenzen: Dieses Advisory finden Sie auch im DFN-CERT Portal unter: https://portal.cert.dfn.de/adv/DFN-CERT-2016-0554/

Schwachstelle CVE-2016-0466 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0466

Schwachstelle CVE-2016-0483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0483

F5 Networks Security Advisory sol50118123:
http://support.f5.com/kb/en-us/solutions/public/k/50/sol50118123.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben