UPDATE: DFN-CERT-2012-1695 Schwachstelle in Oracle Java [Linux][Debian][Fedora][Mandriva][RedHat][SuSE][Windows]

UPDATE: DFN-CERT-2012-1695 Schwachstelle in Oracle Java [Linux][Debian][Fedora][Mandriva][RedHat][SuSE][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 1.0 (31.08.2012):
Neues Advisory
Version 2.0 (03.09.2012):
Korrektur der betroffenen Softwareversionen.

Betroffene Software:

JDK, JRE 7 vor Update 7
JDK, JRE 6 vor Update 35

Betroffene Plattformen:

Alle Plattformen auf den Java lauffähig ist.

Eine Schwachstelle in Java erlaubt einem entfernten Angreifer beliebigen
Code zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://www.oracle.com/technetwork/java/javase/downloads/index.html

CVE-2012-4681: Schwachstelle in Java

Im Oracle Java Runtime Environment (JRE) 1.7 und OpenJDK JRE 1.7 wird die
Ausführung von privilegierten Anweisungen nicht richtig beschränkt. Das
Oracle Java Runtime Environment (JRE) 1.7 erlaubt Benutzern Java-Anwendungen
selbstständig oder im Browser auszuführen. Die für letzteres bestimmten
Browser-Plug-ins stellen einen eigenen ‘Security Manager’ bereit, welcher
den von Browser bzw. System bereitgestellten ersetzen kann. Hierfür sollte
zunächst überprüft werden, ob diese Ersetzung sicher durchgeführt werden
kann.
Oracle Java 1.7 stellt weiterhin die Methode execute() für Ausdrücke bereit,
die durch ‘reflection’ Beschränkungen der Funktion sun.awt.SunToolkit
getField(), welche in einem ‘doPrivileged block’ ausgeführt wird, umgehen
kann. Die Funktion getField() verwendet ebenfalls die ‘reflection’ Methode
setAccessible(), um ein eigentlich geschütztes oder privates Feld zugänglich
zu machen. Durch Ausnutzung dieser Funktion kann eine
nicht-vertrauenswürdige Java-Anwendung ihre Rechte erweitern, indem sie mit
Aufruf der Funktion setSecurityManager() alle Beschränkungen, auch für
unsignierten Code, aufhebt. Ein entfernter Angreifer kann diese
Schwachstelle ausnutzen, um beliebige Befehle mit den Rechten des Anwenders
zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1695/

Das Hersteller Advisory:
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

Schwachstelle CVE-2012-4681:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4681

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben