Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
IBM Java 1.6.0
IBM Java 1.7.0
IBM Java 1.7.1
IBM Java 1.8.0
Betroffene Plattformen:
SUSE Linux Enterprise Module for Legacy Software 12
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
Mehrere Schwachstellen in IBM Java und der enthaltenen GNU zlib ermöglichen
einem entfernten, nicht authentisierten Angreifer über das Ausführen
beliebigen Programmcodes die Übernahme eines Systems, die Manipulation von
Daten und / oder das Ausspähen von Informationen sowie die Durchführung
verschiedener Denial-of-Service (DoS)-Angriffe. Eine Schwachstelle in der
Implementierung der Verschlüsselungsprotokolle SSL und TLS erlaubt das
Umgehen dieser Sicherheitsvorkehrungen durch das Erzwingen eines schwachen
Kryptoalgorithmus und infolgedessen ebenfalls das Ausspähen von
Informationen. Diese Schwäche ist unter dem Namen SWEET32 bekannt.
Für die SUSE Linux Enterprise Produkte Software Development Kit und Server
in den Versionen 12 SP1 und 12 SP2 stehen Sicherheitsupdates für
‘java-1_8_0-ibm’ und ‘java-1_7_1-ibm’ bereit, wobei letzteres auch für die
SUSE Linux Enterprise Produkte Server for SAP 12, Server 12 LTSS, Server 11
SP4 und Software Development Kit 11 SP4 zur Verfügung steht. Für SUSE Linux
Enterprise Server 11 SP3 LTSS steht ein Sicherheitsupdate für
‘java-1_7_0-ibm’ bereit und für das SUSE Linux Enterprise Module for Legacy
Software 12 ein Sicherheitsupdate für ‘java-1_6_0-ibm’. Alle
Sicherheitsupdates adressieren die Schwachstellen CVE-2016-9840,
CVE-2016-9841, CVE-2016-9842, CVE-2016-9843, CVE-2017-1289, CVE-2017-3509,
CVE-2017-3511, CVE-2017-3533, CVE-2017-3539 und CVE-2017-3544, während das
Sicherheitsupdate für ‘java-1_6_0-ibm’ zusätzlich die Schwachstelle
CVE-2016-2183 (SWEET32) adressiert.
Patch:
SUSE Security Update SUSE-SU-2017:1384-1
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002910.html
Patch:
SUSE Security Update SUSE-SU-2017:1385-1
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002911.html
Patch:
SUSE Security Update SUSE-SU-2017:1386-1
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002912.html
Patch:
SUSE Security Update SUSE-SU-2017:1387-1
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002913.html
Patch:
SUSE Security Update SUSE-SU-2017:1389-1
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002914.html
CVE-2017-3544: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Daten
In der Subkomponente ‘Networking’ von Java SE, Java SE Embedded und JRockit
besteht eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die betroffene Software
über SMTP für seine Zwecke nutzen kann. Ein erfolgreicher Angriff erfordert
keine Interaktion eines Benutzers der Software und ermöglicht dem Angreifer
die Manipulation einiger der von der betroffenen Software erreichbaren
Daten. Die Schwachstelle betrifft Client- und Server-Installationen von Java
SE, Java SE Embedded und JRockit.
CVE-2017-3533: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Daten
In der Subkomponente ‘Networking’ von Java SE, Java SE Embedded und JRockit
besteht eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die betroffene Software
über FTP für seine Zwecke nutzen kann. Ein erfolgreicher Angriff erfordert
keine Interaktion eines Benutzers der Software und ermöglicht dem Angreifer
die Manipulation einiger der von der betroffenen Software erreichbaren
Daten. Die Schwachstelle betrifft Client- und Server-Installationen von Java
SE, Java SE Embedded und JRockit.
CVE-2017-3514: Schwachstelle in Java SE emöglicht komplette Systemübernahme
In der Subkomponente ‘Abstract Window Toolkit (AWT)’ von Java SE besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Protokolle für seine Zwecke nutzen kann. Ein erfolgreicher
Angriff erfordert die Interaktion eines Benutzers der Software und
ermöglicht dem Angreifer die komplette Kompromittierung der Software und in
der Folge des gesamten Systems. Die Schwachstelle betrifft typischerweise
Client-Installationen von Java SE.
CVE-2017-1289: Schwachstelle in IBM SDK, Java Technology Edition ermöglicht
Ausspähen von Informationen und Denial-of-Service-Angriff
IBM SDK, Java Technology Edition ist verwundbar gegenüber XML External
Entity Injection (XXE)-Fehlern bei der Verarbeitung von XML-Daten. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um hoch-sensitive Informationen auszuspähen oder
Speicherressourcen zu verbrauchen und dadurch einen Denial-of-Service
(DoS)-Zustand zu bewirken.
CVE-2017-3539: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Manipulation von Daten
In der Subkomponente ‘Security’ von Java SE und Java SE Embedded besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Verbindungsprotokolle für seine Zwecke nutzen kann. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der Software
und ermöglicht dem Angreifer die Manipulation einiger der von der Software
erreichbaren Daten. Die Schwachstelle betrifft Client-Installationen von
Java SE und Java SE Embedded.
CVE-2017-3509: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen und Manipulation von Daten
In der Subkomponente ‘Networking’ von Java SE und Java SE Embedded besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Verbindungsprotokolle für seine Zwecke nutzen kann. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der Software
und ermöglicht dem Angreifer Lese- und Schreibzugriff auf eine Untermenge
der von der Software erreichbaren Daten. Die Schwachstelle betrifft
Client-Installationen von Java SE und Java SE Embedded.
CVE-2016-9843: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff
Durch eine vom C-Standard abweichende Zeigerarithmetik auf Power-PC
Plattformen besteht eine Schwachstelle in zlib, die es ermöglicht, auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Access) und dadurch eine Speicherschutzverletzung auszulösen. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.
CVE-2016-9842: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff
Durch das Verschieben von negativen Ganzzahlen in der Funktion ‘inflateMark’
besteht eine Schwachstelle in zlib. Dabei können nicht vorhersehbare
Ergebnisse entstehen, welche im folgenden Programmablauf einen Absturz
verursachen können. Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.
CVE-2016-9841: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff
Durch die Verwendung einer nicht mehr zeitgemäßen Zeigerarithmetik in
‘inffast.c’ besteht eine Schwachstelle in zlib, die es ermöglicht, auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Access) und dadurch eine Speicherschutzverletzung auszulösen. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.
CVE-2016-9840: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff
Durch eine fehlerhaft umgesetzte Zeigerarithmetik in ‘inftrees.c’ besteht
eine Schwachstelle in zlib, die es ermöglicht, auf Speicherbereiche
außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds Access) und dadurch
eine Speicherschutzverletzung auszulösen. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service-Angriff durchführen.
CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen
HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL
und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter
anderem den ‘Triple-DES’-Kryptoalgorithmus nutzen, der gegen den sogenannten
Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die
Schwachstelle ist aufgrund der Art und Weise wie Browser
Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil
diese zwischen einem Webdienst und dem Browser wiederholt hin und her
geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend
Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise
ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder
diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus
diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender
Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den
Inhalt des Session Cookies zu enthüllen. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und
infolgedessen Informationen ausspähen.
Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0904/
Schwachstelle CVE-2016-2183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183
Schwachstelle CVE-2016-9840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9840
Schwachstelle CVE-2016-9841 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9841
Schwachstelle CVE-2016-9842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9842
Schwachstelle CVE-2016-9843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9843
Schwachstelle CVE-2017-3509 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3509
Schwachstelle CVE-2017-3514 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3514
Schwachstelle CVE-2017-3533 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3533
Schwachstelle CVE-2017-3539 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3539
Schwachstelle CVE-2017-3544 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3544
Schwachstelle CVE-2017-1289 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1289
SUSE Security Update SUSE-SU-2017:1384-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002910.html
SUSE Security Update SUSE-SU-2017:1385-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002911.html
SUSE Security Update SUSE-SU-2017:1386-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002912.html
SUSE Security Update SUSE-SU-2017:1387-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002913.html
SUSE Security Update SUSE-SU-2017:1389-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002914.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
