UPDATE: DFN-CERT-2013-2019 OpenJDK 1.6: Mehrere Schwachstellen ermöglichen Ausführung beliebiger Befehle [Linux][SuSE]

UPDATE: DFN-CERT-2013-2019 OpenJDK 1.6: Mehrere Schwachstellen ermöglichen Ausführung beliebiger Befehle [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (31.12.2013):
Patch für openSUSE 11.4 ist verfügbar.
Version 1 (06.12.2013):
Neues Advisory

Betroffene Software:

OpenJDK 1.6.0

Betroffene Plattformen:

openSUSE 11.4
Novell SUSE Linux Enterprise Desktop 11 SP2

Mehrere Schwachstellen in OpenJDK 1.6 ermöglichen einem entfernten, nicht
authentifizierten Angreifer beliebige Befehle zur Ausführung zu bringen.

Patch:

SUSE Security Update SUSE-SU-2013:1808-1

https://www.suse.com/support/update/announcement/2013/suse-su-20131808-1.html

Patch:

openSUSE-SU-2013:1968-1

http://lists.opensuse.org/opensuse-updates/2013-12/msg00128.html

CVE-2013-5851: Datenleck in XML Stream Factory Finder (JAXP)

In JAXP, der Java API für die XML-Verarbeitung, existiert eine
Schwachstellen, die den Zugang zu geschützten Daten erlaubt.

CVE-2013-5850: Schwachstelle in den Bibliotheken des Oracle Java JDK und JRE

Es existiert eine nicht näher beschriebene Schwachstelle in den Bibliotheken
des Oracle Java JDK und JRE, die durch sandboxed Java Web Start Anwendungen
und sandboxed Java Applets ausgenutzt werden kann. Diese ermöglicht einem
entfernten Angreifer die Ausführung beliebiger Befehle mit den Rechten der
Anwendung, die das Oracle Java JDK oder JRE verwendet.

CVE-2013-5840: Schwachstelle in den Java Libraries

Die Java Libraries enthalten eine nicht näher beschriebe Schwachstelle.
Diese ermöglicht einem entfernten Angreifer die Vertraulichkeit zu
beeinträchtigen.

CVE-2013-5830: Schwachstelle in den Java Libraries

Die Java Libraries enthalten eine nicht näher beschriebene Schwachstelle.
Diese ermöglicht einem entfernten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit zu beeinträchtigen.

CVE-2013-5829: Schwachstelle in Java 2D

Java enthält in der Komponente 2D eine nicht näher beschriebene
Schwachstelle. Diese ermöglicht einem entfernten Angreifer die
Vertraulichkeit, die Integrität und die Verfügbarkeit zu beeinträchtigen.

CVE-2013-5825: Schwachstelle in Java JAXP

Java enthält eine nicht näher spezifiziert Schwachstelle in der Komponente
JAXP. Diese ermöglicht einem entfernten Angreifer die Verfügbarkeit zu
beeinträchtigen.

CVE-2013-5804: Schwachstelle in Javadoc

Java enthält in der Komponente Javadoc eine nicht näher beschriebe
Schwachstelle. Diese ermöglicht einem entfernten Angreifer die
Vertraulichkeit und die Integrität zu beeinträchtigen.

CVE-2013-5802: Mehrere Schwachstellen in der Java API für die
XML-Verarbeitung (JAXP)

In JAXP, der Java API für die XML-Verarbeitung, existieren mehrere
Schwachstellen in Bezug auf die Analyse von XML und das Verarbeiten von
Konstanten. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstellen für einen Denial-of-Service-Angriff oder zum Ausführen
beliebigen Programmcodes verwenden.

CVE-2013-5783: Schwachstelle in Java SWING

Java enthält in der Komponente SWING eine nicht näher spezifizierte
Schwachstelle. Diese ermöglicht einem entfernten Angreifer die
Vertraulichkeit und die Integrität zu beeinträchtigen.

CVE-2013-5782: Schwachstelle in Java 2D

Java enthält in der Komponente 2D eine nicht näher beschriebene
Schwachstelle. Diese ermöglicht einem entfernten Angreifer die
Vertraulichkeit, die Integrität und die Verfügbarkeit zu beeinträchtigen.

CVE-2013-5780: Schwachstelle in den Java Libraries

Java SE bis einschließlich 7u40, Java SE bis einschließlich 6u60, Java SE
bis einschließlich 5.0u51, JRockitbis einschließlich R28.2.8, JRockit bis
einschließlich R27.7.6 und Java SE Embedded bis einschließlich 7u40
enthalten eine nicht näher spezifizierte Schwachstelle. Diese ermöglicht
einem entfernten Angreifer die Vertraulichkeit zu beeinträchtigen.

CVE-2013-5778: Schwachstelle in JavaSE 2D

In der JavaSE-Komponente 2D ermöglichen es mehrere Schwachstellen einem
entfernten, nicht authentisierten Angreifer, über verschiedene Protokolle
das System oder den Dienst zu übernehmen.

CVE-2013-5774: Schwachstelle in den Java Libraries

Die Java Libraries enthalten eine nicht näher spezifizierte Schwachstelle.
Diese ermöglicht einem entfernten Angreifer die Integrität zu
beeinträchtigen.

CVE-2013-4002: Schwachstelle im Java Runtime Environment

In dem Java Runtime Environment ist eine nicht näher beschriebene
Schwachstelle enthalten. Betroffen sind die Versionen 5.0 vor Version 5.0
SR16-FP3, 6 vor Version 6 SR14, 6.0.1 vor Version 6.0.1 SR6 und 7 vor
Version 7 SR5. Diese ermöglicht einem entfernten Angreifer die Verfügbarkeit
zu beeinträchtigen.

CVE-2013-3829: Mehrere Schwachstellen in Java Libraries

In verschiedenen Java Libraries sind mehrere nicht detailliert beschriebene
Schwachstellen vorhanden, unter anderem in den Bereichen,
Sicherheitsprüfungen und Verarbeitung von IPv6-Adressen. Die Schwachstellen
erlauben es u.a. einem entfernten, nicht authentifizierten Angreifer,
beliebigen Programmcode auszuführen und damit die Integrität und
Vertraulichkeit der Daten zu gefährden.

CVE-2013-5849: Schwachstelle in Java Abstract Window Toolkit (AWT)

Über eine unzureichende Sicherheitsprüfung im Java Abstract Window Toolkit
(AWT) kann ein entfernter, nicht authentifizierter Angreifer lesenden
Zugriff auf alle von den Java-Prozessen zugreifbaren Daten erlangen.

CVE-2013-5823: Schwachstelle in Java SE Komponente Security

In der Java SE Komponente Security ermöglicht eine Schwachstelle einem
entfernten, nicht authentifizierten Angreifer, die Verfügbarkeit der
Anwendung über verschiedene Protokolle zu beeinträchtigen.

CVE-2013-5817: Schwachstelle in JavaSE JNDI

Im Java Naming and Directory Interface (JNDI) ermöglicht es eine
Schwachstelle einem entfernten, nicht authentisierten Angreifer, über
verschiedene Protokolle erweiterte Rechte zu übernehmen. VersionHelper12
akzeptiert nicht die Restriktionen von modifyThreadGroup.

CVE-2013-5814: Schwachstelle in Java CORBA

Eine Schwachstelle in Java CORBA kann von einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle zur Ausführung von
beliebigen Befehlen genutzt werden.

CVE-2013-5790: Schwachstelle in JavaBeans

Durch unzureichende Sicherheitsprüfungen in JavaBeans kann sich ein
entfernter, nicht authentifizierter Angreifer lesenden Zugriff auf Dateien
verschaffen.

CVE-2013-5784: Schwachstelle in Java SE Komponente Scripting

Eine Schwachstelle in der Java SE Scripting Komponente bezüglich
unzulänglicher Sicherheitsprüfungen im “InterfaceImplementor” ermöglicht
einem entfernten, nicht authentifizierten Angreifer, Daten der Anwendung zu
manipulieren.

CVE-2013-5772: Schwachstelle im Java Heap Analysis Tool (jhat)

Im Java Heap Analysis Tool (jhat) existiert eine Schwachstelle, die es
ermöglicht, Daten zu manipulieren. Das Filtern von HTML ist fehlerhaft. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Daten zu manipulieren.

CVE-2013-5803: Schwachstelle in Java JGSS

Java SE bis einschließlich 7u40, Java SE bis einschließlich 6u60, Java SE
bis einschließlich 5.0u51, JRockit bis einschließlich R28.2.8, JRockit bis
einschließlich R27.7.6 und Java SE Embedded bis einschließlich 7u40
enthalten eine nicht näher spezifizierte Schwachstelle. Diese ermöglicht
einem entfernten Angreifer die Verfügbarkeit zu beeinträchtigen.

CVE-2013-5809: Schwachstelle in Java 2D

Java enthält eine nicht näher beschriebene Schwachstelle in der Komponente
2D. Dies ermöglicht einem entfernten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit zu beeinträchtigen.

CVE-2013-5797: Schwachstelle in Javadoc

Java enthält in der Komponente Javadoc eine nicht näher beschriebene
Schwachstelle. Diese ermöglicht einem entfernten Angreifer die Integrität zu
beeinträchtigen.

CVE-2013-5820: Schwachstelle in Java API für XML Web Services (JAX-WS)

In JAX-WS, der Java API für XML Web Services, werden durch eine
Schwachstelle unzureichende Sicherheitsprüfungen durchgeführt. Die
Schwachstelle ermöglicht einem entfernten, nicht authentifizierten Angreifer
die Ausführung beliebigen Programmcodes.

CVE-2013-5842: Schwachstelle in den Java Libraries

Die Java Libraries enthalten eine nicht näher beschriebene Schwachstelle.
Diese ermöglicht einem entfernten Angreifer die Vertraulichkeit, die
Integrität und die Verfügbarkeit zu beeinträchtigen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2019/

Schwachstelle CVE-2013-5817 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5817

Schwachstelle CVE-2013-5772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5772

Schwachstelle CVE-2013-5778 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5778

Schwachstelle CVE-2013-5803 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5803

Schwachstelle CVE-2013-5783 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5783

Schwachstelle CVE-2013-5784 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5784

Schwachstelle CVE-2013-5797 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5797

Schwachstelle CVE-2013-5790 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5790

Schwachstelle CVE-2013-5782 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5782

Schwachstelle CVE-2013-5814 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5814

Schwachstelle CVE-2013-5804 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5804

Schwachstelle CVE-2013-5809 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5809

Schwachstelle CVE-2013-5820 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5820

Schwachstelle CVE-2013-5823 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5823

Schwachstelle CVE-2013-5825 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5825

Schwachstelle CVE-2013-5829 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5829

Schwachstelle CVE-2013-5842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5842

Schwachstelle CVE-2013-5850 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5850

Schwachstelle CVE-2013-5849 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5849

Schwachstelle CVE-2013-5830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5830

Schwachstelle CVE-2013-5840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5840

Schwachstelle CVE-2013-5851 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5851

Schwachstelle CVE-2013-5774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5774

Schwachstelle CVE-2013-5780 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5780

Schwachstelle CVE-2013-4002 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4002

Schwachstelle CVE-2013-3829 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3829

Schwachstelle CVE-2013-5802 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5802

SUSE Security Update SUSE-SU-2013:1808-1:
https://www.suse.com/support/update/announcement/2013/suse-su-20131808-1.html

openSUSE-SU-2013:1968-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00128.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben