[SuSE] Mehrere Schwachstellen in IBM Java

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes SuSE Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-0802 / CVE-2011-0814 – Schwachstelle in Java

In der Sound-Komponente von Oracle Java existieren zwei nicht naeher
beschriebene Schwachstellen, welche von entfernten Angreifern mittels
praeparierter Java Web Start Applikationen oder Java Applets ausgenutzt
werden koennen, aber auch durch praeparierte Daten, welche an
entsprechende APIs beispielsweise mithilfe eines Webservices gesendet
werden.

CVE-2011-0871 – Schwachstelle in Java

Bei der Implementierung des MediaTrackers werden Instanzen von
“Component” mit zu vielen Privilegien erzeugt. Einem entfernten
Angreifer ist es damit moeglich, hoehere Privilegien zu erlangen, durch
die Nutzung eines nicht vertrauenswuerdigen Applets oder eine Anwendung
die Swing nutzt.

CVE-2011-0872 – Schwachstelle in Java

In der Implementierung des NIO-Codes der Java Runtime Engine (JRE) fuer
Windows wurde eine Schwachstelle gefunden. Diese ermoeglicht einem
Angreifer, dass nicht-blockierende Sockets mit der TCP-Option “Urgent
Disabled” faelschlicherweise zum Lesen ausgewaehlt werden.

CVE-2011-0867 – Schwachstelle in Java

Bei der Implementierung der NetworkInterface-Klasse kommt es zu einer
Preisgabe von Informationen. Ein Angreifer kann mittels eines nicht
vertrauenswuerdigen Applets oder Anwendung auf diese Weise auf
Informationen ueber Netzwerk-Interfaces zugreifen, obwohl dies
privilegiertem Code vorbehalten sein sollte.

CVE-2011-0865 – Schwachstelle in Java

Es existiert eine Schwachstelle bei der Art, wie signierte Objekte
de-serialisiert werden. Dies kann ein Angreifer ausnutzen, falls sowohl
vertrauenswuerdiger, als auch nicht vertrauenswuerdiger Code in der
gleichen JVM laufen und beide das gleiche signierte Objekt
de-serialisieren. Dann ist es dem Angreifer moeglich, mit dem nicht
vertrauenswuerdigen Code das Objekt zu aendern und somit die
Gueltigkeitspruefung fuer signierte Objekte zu umgehen.

CVE-2011-0786 / CVE-2011-0788 – Schwachstelle in der Java Runtime
Environment

In der Java Runtime Environment besteht eine nicht naeher beschriebene
Schwachstelle, die von entfernten Angreifern mittels praeparierter Java
Web Start Applikationen oder Java Applets ausgenutzt werden kann.

CVE-2011-0866 – Schwachstelle in der Java Runtime Environment

In der Java Runtime Environment besteht eine nicht naeher beschriebene
Schwachstelle, welche von entfernten Angreifern mittels praeparierter
Java Web Start Applikationen oder Java Applets ausgenutzt werden kann.

CVE-2011-0862 / CVE-2011-0822 – Schwachstelle in Java

In Java2D besteht eine Schwachstelle bei der Verarbeitung von
JPEG-Bildern mit benutzerdefinierten Schriften. Ein Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Code mit den Rechten des
Anwenders auszufuehren, falls dieser ein nicht vertrauenswuerdiges
Applet oder eine nicht vertrauenswuerdige Anwendung ausfuehrt.

CVE-2011-0815 – Schwachstelle in der Java Runtime Environment

In der Windows-Version der AWT-Implementierung kann es zu einem Heap
Overflow beim Aufruf von FileDialog.show() kommen. Einem Angreifer ist
es damit moeglich, schlimmstenfalls beliebigen Code auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket java-1_4_2-ibm

SUSE Linux Enterprise Software Development Kit 11 SP1
SUSE Linux Enterprise Server 11 SP1 for VMware
SUSE Linux Enterprise Server 11 SP1
SUSE Linux Enterprise Server 10 SP4
SUSE Linux Enterprise Server 10 SP3
SUSE Linux Enterprise Java 11 SP1
SUSE Linux Enterprise Java 10 SP4
SUSE Linux Enterprise Java 10 SP3
SUSE CORE 9
SLE SDK 10 SP3
Open Enterprise Server
Novell Linux POS 9

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Matthias Braeck

– —
Matthias Braeck (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

SUSE Security Update: Security update for IBM Java
______________________________________________________________________________

Announcement ID: SUSE-SU-2011:0966-1
Rating: important
References: #711195
Cross-References: CVE-2011-0802 CVE-2011-0814 CVE-2011-0815
CVE-2011-0862 CVE-2011-0865 CVE-2011-0866
CVE-2011-0867 CVE-2011-0871 CVE-2011-0872

Affected Products:
SUSE Linux Enterprise Software Development Kit 11 SP1
SUSE Linux Enterprise Server 11 SP1 for VMware
SUSE Linux Enterprise Server 11 SP1
SUSE Linux Enterprise Server 10 SP4
SUSE Linux Enterprise Server 10 SP3
SUSE Linux Enterprise Java 11 SP1
SUSE Linux Enterprise Java 10 SP4
SUSE Linux Enterprise Java 10 SP3
SUSE CORE 9
SLE SDK 10 SP3
Open Enterprise Server
Novell Linux POS 9
______________________________________________________________________________

An update that fixes 9 vulnerabilities is now available.

Description:

IBM Java 1.4.2 SR 13 Fixpack 10 has been released and fixes
various bugs and security issues.

The following security issues have been fixed:

CVE-2011-0865: Unspecified vulnerability in the Java
Runtime Environment (JRE) component in Oracle Java SE 6
Update 25 and earlier, 5.0 Update 29 and earlier, and
1.4.2_31 and earlier allows remote untrusted Java Web Start
applications and untrusted Java applets to affect integrity
via unknown vectors related to Deserialization.

CVE-2011-0866: Unspecified vulnerability in the Java
Runtime Environment (JRE) component in Oracle Java SE 6
Update 25 and earlier, 5.0 Update 29 and earlier, and
1.4.2_31 and earlier, when running on Windows, allows
remote untrusted Java Web Start applications and untrusted
Java applets to affect confidentiality, integrity, and
availability via unknown vectors related to Java Runtime
Environment.

CVE-2011-0802: Unspecified vulnerability in the Java
Runtime Environment (JRE) component in Oracle Java SE 6
Update 25 and earlier, when running on Windows, allows
remote untrusted Java Web Start applications and untrusted
Java applets to affect confidentiality, integrity, and
availability via unknown vectors related to Deployment, a
different vulnerability than CVE-2011-0786.

CVE-2011-0814: Unspecified vulnerability in the Java
Runtime Environment (JRE) component in Oracle Java SE 6
Update 25 and earlier, 5.0 Update 29 and earlier, and
1.4.2_31 and earlier allows remote attackers to affect
confidentiality, integrity, and availability via unknown
vectors related to Sound, a different vulnerability than
CVE-2011-0802.

CVE-2011-0815: Unspecified vulnerability in the Java
Runtime Environment (JRE) component in Oracle Java SE 6
Update 25 and earlier, 5.0 Update 29 and earlier, and
1.4.2_31 and earlier allows remote untrusted Java Web Start
applications and untrusted Java applets to affect
confidentiality, integrity, and availability via unknown
vectors related to AWT.

CVE-2011-0862: Multiple unspecified vulnerabilities
in the Java Runtime Environment (JRE) component in Oracle
Java SE 6 Update 25 and earlier, 5.0 Update 29 and earlier,
and 1.4.2_31 and earlier allow remote attackers to affect
confidentiality, integrity, and availability via unknown
vectors related to 2D.

CVE-2011-0867: Unspecified vulnerability in the Java
Runtime Environment (JRE) component in Oracle Java SE 6
Update 25 and earlier, 5.0 Update 29 and earlier, and
1.4.2_31 and earlier allows remote untrusted Java Web Start
applications and untrusted Java applets to affect
confidentiality via unknown vectors related to Networking.

CVE-2011-0871: Unspecified vulnerability in the Java
Runtime Environment (JRE) component in Oracle Java SE 6
Update 25 and earlier, 5.0 Update 29 and earlier, and
1.4.2_31 and earlier allows remote untrusted Java Web Start
applications and untrusted Java applets to affect
confidentiality, integrity, and availability via unknown
vectors related to Swing.

CVE-2011-0872: Unspecified vulnerability in the Java
Runtime Environment (JRE) component in Oracle Java SE 6
Update 25 and earlier allows remote attackers to affect
availability via unknown vectors related to NIO.

Security Issue references:

Indications:

Please install this update.

Patch Instructions:

To install this SUSE Security Update use YaST online_update.
Alternatively you can run the command listed for your product:

– SUSE Linux Enterprise Software Development Kit 11 SP1:

zypper in -t patch sdksp1-java-1_4_2-ibm-5014

– SUSE Linux Enterprise Server 11 SP1 for VMware:

zypper in -t patch slessp1-java-1_4_2-ibm-5014

– SUSE Linux Enterprise Server 11 SP1:

zypper in -t patch slessp1-java-1_4_2-ibm-5014

– SUSE Linux Enterprise Java 11 SP1:

zypper in -t patch slejsp1-java-1_4_2-ibm-5014

To bring your system up-to-date, use “zypper patch”.

Package List:

– SUSE Linux Enterprise Software Development Kit 11 SP1 (i586 ia64 ppc64 s390x x86_64):

java-1_4_2-ibm-devel-1.4.2_sr13.10-0.4.1

– SUSE Linux Enterprise Software Development Kit 11 SP1 (i586 x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.4.1

– SUSE Linux Enterprise Server 11 SP1 for VMware (i586 x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.4.1

– SUSE Linux Enterprise Server 11 SP1 for VMware (i586):

java-1_4_2-ibm-jdbc-1.4.2_sr13.10-0.4.1
java-1_4_2-ibm-plugin-1.4.2_sr13.10-0.4.1

– SUSE Linux Enterprise Server 11 SP1 (i586 ia64 ppc64 s390x x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.4.1

– SUSE Linux Enterprise Server 11 SP1 (i586):

java-1_4_2-ibm-jdbc-1.4.2_sr13.10-0.4.1
java-1_4_2-ibm-plugin-1.4.2_sr13.10-0.4.1

– SUSE Linux Enterprise Server 10 SP4 (i586 ia64 ppc s390x x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.9.1
java-1_4_2-ibm-devel-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Server 10 SP4 (i586 ppc):

java-1_4_2-ibm-jdbc-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Server 10 SP4 (i586):

java-1_4_2-ibm-plugin-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Server 10 SP3 (i586 ia64 ppc s390x x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.9.1
java-1_4_2-ibm-devel-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Server 10 SP3 (i586 ppc):

java-1_4_2-ibm-jdbc-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Server 10 SP3 (i586):

java-1_4_2-ibm-plugin-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Java 11 SP1 (i586 ia64 ppc64 s390x x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.4.1

– SUSE Linux Enterprise Java 11 SP1 (i586):

java-1_4_2-ibm-jdbc-1.4.2_sr13.10-0.4.1
java-1_4_2-ibm-plugin-1.4.2_sr13.10-0.4.1

– SUSE Linux Enterprise Java 10 SP4 (i586 ia64 ppc s390x x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.9.1
java-1_4_2-ibm-devel-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Java 10 SP4 (i586 ppc):

java-1_4_2-ibm-jdbc-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Java 10 SP4 (i586):

java-1_4_2-ibm-plugin-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Java 10 SP3 (i586 ia64 ppc s390x x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.9.1
java-1_4_2-ibm-devel-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Java 10 SP3 (i586 ppc):

java-1_4_2-ibm-jdbc-1.4.2_sr13.10-0.9.1

– SUSE Linux Enterprise Java 10 SP3 (i586):

java-1_4_2-ibm-plugin-1.4.2_sr13.10-0.9.1

– SUSE CORE 9 (i586 ia64 ppc ppc64 s390 s390x x86_64):

IBMJava2-JRE-1.4.2_sr13.10-0.7
IBMJava2-SDK-1.4.2_sr13.10-0.7

– SLE SDK 10 SP3 (i586 ia64 ppc s390x x86_64):

java-1_4_2-ibm-1.4.2_sr13.10-0.9.1
java-1_4_2-ibm-devel-1.4.2_sr13.10-0.9.1

– SLE SDK 10 SP3 (i586 ppc):

java-1_4_2-ibm-jdbc-1.4.2_sr13.10-0.9.1

– SLE SDK 10 SP3 (i586):

java-1_4_2-ibm-plugin-1.4.2_sr13.10-0.9.1

– Open Enterprise Server (i586):

IBMJava2-JRE-1.4.2_sr13.10-0.7
IBMJava2-SDK-1.4.2_sr13.10-0.7

– Novell Linux POS 9 (i586):

IBMJava2-JRE-1.4.2_sr13.10-0.7
IBMJava2-SDK-1.4.2_sr13.10-0.7

References:

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOXOCFAAoJEJtyb8U7iGZBfZUH+gMeKyTh2BOfxLzRFV5gLxq1
LWuFhO1bI3tuOgWjelGPCUfYh1ZIIJgkjddISV+oTYWymR3dYZYpTquEkno8z64M
TKbpC36rXT8v/56CW5Jr5/rECBFKxklQJM9DXcSKRMreZ/HOagwetfqBNuVj/0a/
BqR/WhYycZNdMlIfQgpXcLQsf12h2bIUUn8VHcHodE4rm/136Op+LVYvSzcZxfKR
GBMpdyBXRrSEYT+VsBkMPk7XyByz1ZY2slVItvotXdes9AkKzcPaCcz8UNnBvTvK
K43ydMV952oOoSQLX/pJue+uE5lAHJoA5ChuL1YdFGfmb9WwmE/o56tHZ95XY5s=
=M/xd
—–END PGP SIGNATURE—–

[SuSE] Mehrere Schwachstellen in IBM Java - SUSE-SU-2011:0966-1

LMP003 Chemnitzer Linux-Tage 2026

[SuSE] Mehrere Schwachstellen in IBM Java – SUSE-SU-2011:0966-1

[SuSE] Mehrere Schwachstellen in IBM Java - SUSE-SU-2011:0966-1