DFN-CERT-2016-0860 Oracle Java SE: Zwei Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Netzwerk]

DFN-CERT-2016-0860 Oracle Java SE: Zwei Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Java SE <= 6u113 Oracle Java SE <= 7u99 Oracle Java SE <= 8u77 Betroffene Plattformen: F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.2.1
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) 11.2.1 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Zwei Schwachstellen in Oracle Java SE, welches in verschiedenen Produkten von F5 Networks eingesetzt wird, ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme und einen Denial-of-Service-Angriff (DoS). F5 Networks informiert in den referenzierten Sicherheitshinweisen darüber, welche Produkte und Programmversionen von diesen Schwachstellen betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module (PSM) in den Versionen 10.2.1-10.2.4 und 11.4.0-11.4.1 betroffen. Die Denial-of-Service-Schwachstelle CVE-2016-3425 betrifft zusätzlich die Version 11.2.1. F5 Networks weist darauf hin, dass Standardinstallationen der betroffenen Produkte nicht durch die kritische Schwachstelle CVE-2016-3427 verwundbar sind, da hierfür ein JMX-RMI-Port konfiguriert und Java anschließend neu gestartet werden muss. CVE-2016-3427: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette Systemübernahme Eine leicht auszunutzende Schwachstelle in der Subkomponente JMX von Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit R28.3.9 ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle unautorisiert die komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft Client- und Server-Installationen von Java und kann über Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber hinaus sind Java-basierte Web Services über die Programmschnittstellen (APIs) von JMX angreifbar. CVE-2016-3425: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit R28.3.9 ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle einen Denial-of-Service-Zustand von Java SE, Java SE Embedded und JRockit herbeizuführen. Diese Schwachstelle betrifft Client- und Server-Installationen von Java und kann über Sandboxed Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber hinaus sind Java-basierte Web Services über die Programmschnittstellen (APIs) von JAXP angreifbar. Referenzen: Dieses Advisory finden Sie auch im DFN-CERT Portal unter: https://portal.cert.dfn.de/adv/DFN-CERT-2016-0860/

Schwachstelle CVE-2016-3425 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3425

Schwachstelle CVE-2016-3427 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3427

F5 Networks Security Advisory sol73112451:
http://support.f5.com/kb/en-us/solutions/public/k/73/sol73112451.html?ref=rss

F5 Networks Security Advisory sol81223200:
http://support.f5.com/kb/en-us/solutions/public/k/81/sol81223200.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben