Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 7 (01.12.2014):
Für die Distributionen Debian Wheezy und Debian Jessie stehen
Sicherheitsupdates für OpenJDK 7 bereit. Die nicht für OpenJDK 7
relevanten Schwachstellen CVE-2014-6468 und CVE-2014-6562 werden ebenso
wie die Schwachstellen CVE-2014-6513 und CVE-2014-6527 nicht im Debian
Advisory aufgeführt.
Version 6 (27.11.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate für OpenJDK
6 zur Verfügung. Die nicht für OpenJDK 6 relevanten Schwachstellen
CVE-2014-6468 , CVE-2014-6513, CVE-2014-6527 und CVE-2014-6562 werden vom
Debian Advisory dementsprechend nicht benannt.
Version 5 (14.11.2014):
Novell stellt für SUSE Linux Enterprise Server 12, Desktop 12 ein
Sicherheitsupdate für OpenJDK 7 zur Verfügung. Dieses benennt die
Schwachstellen CVE-2014-6468, CVE-2014-6527 und CVE-2014-6562 nicht.
Version 4 (24.10.2014):
Canonical stellt für Ubuntu 14.10 ein Sicherheitsupdate für OpenJDK 7 zur
Verfügung. Dieses benennt die Schwachstelle CVE-2014-6527 nicht, führt
aber zusätzlich die Schwachstelle CVE-2014-6513 auf.
Version 3 (23.10.2014):
Canonical stellt für Ubuntu 14.04 LTS ein Sicherheitsupdate für OpenJDK 7
zur Verfügung, welches zusätzlich die Schwachstelle CVE-2014-6527
aufführt.
Version 2 (17.10.2014):
Canonical stellt für Ubuntu 10.04 LTS und Ubuntu 12.04 LTS
Sicherheitsupdates für OpenJDK 6 zur Verfügung.
Version 1 (15.10.2014):
Neues Advisory
Betroffene Software:
OpenJDK 1.6.0
OpenJDK 1.7.0
OpenJDK 1.8.0
Betroffene Plattformen:
Enterprise Linux High Availability EUS 6.6.z
Red Hat Enterprise Linux Load Balancer 6.0
Enterprise Linux Resilient Storage EUS 6.6.z
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
Debian Linux 8.0 Jessie
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 12
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Mehrere Schwachstellen in den OpenJDK Versionen 1.6.0, 1.7.0 und 1.8.0
ermöglichen einem entfernten, nicht authentifizierten Angreifer das
Ausspähen und Manipulieren von Daten, sowie das Bewirken eines
Denial-of-Service-Zustandes. In OpenJDK 1.8.0 existieren zusätzlich zwei
Schwachstellen, die zur Erlangung von Administratorrechten genutzt werden
können (CVE-2014-6468 und CVE-2014-6562). Red Hat stellt für eine Reihe von
Produkten Sicherheitsupdates zur Verfügung.
Patch:
Red Hat Security Advisory RHSA-2014:1620
http://rhn.redhat.com/errata/RHSA-2014-1620.html
Patch:
Red Hat Security Advisory RHSA-2014:1633
http://rhn.redhat.com/errata/RHSA-2014-1633.html
Patch:
Red Hat Security Advisory RHSA-2014:1634
http://rhn.redhat.com/errata/RHSA-2014-1634.html
Patch:
Red Hat Security Advisory RHSA-2014:1636
http://rhn.redhat.com/errata/RHSA-2014-1636.html
Patch:
Ubuntu Security Notice USN-2386-1
http://www.ubuntu.com/usn/usn-2386-1/
Patch:
Ubuntu Security Notice USN-2388-1
http://www.ubuntu.com/usn/usn-2388-1/
Patch:
Ubuntu Security Notice USN-2388-2
http://www.ubuntu.com/usn/usn-2388-2/
Patch:
SUSE Security Update SUSE-SU-2014:1422-1
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00013.html
Patch:
Debian Security Advisory DSA-3077-1
https://www.debian.org/security/2014/dsa-3077
Patch:
Debian Security Advisory DSA-3080-1
https://www.debian.org/security/2014/dsa-3080
CVE-2014-6527: Schwachstelle in der Auslieferungskomponente ermöglicht
Maniupulation von Dateien
Eine Schwachstelle in der Auslieferungskomponente von Java SE führt dazu,
dass durch Netzwerkangriffe mithilfe von verschiedenen Protokollen,
unberechtigter Aktualisierungs-, Einfüge- und Lösch-Zugriff auf Daten
erlangt wird, auf die Java SE Zugriff hat. Die Schwachstelle kann nur bei
Java Web Start Anwendungen und Java Applets, die in einer Sandbox laufen,
ausgenutzt werden. Ein entfernter, nicht authentifizierter Angreifer kann
lesenden und schreibenden Zugriff Dateien erlangen.
CVE-2014-6513: Schwachstelle in AWT-Komponente ermöglicht das Erlangen von
Administrationsrechten
Eine Schwachstelle in der AWT-Komponente von Java SE und Java SE Embedded
führt dazu, dass durch nicht autorisierten Netzwerkverkehr von verschiedenen
Protokollen das System übernommen und beliebiger Programmcode mit
Administrationsrechten ausgeführt werden kann. Es sind nur Java Web Start
Anwendungen und Applets, die in einer Sandbox laufen, betroffen. Ein
entfernter, nicht authentifizierter Angreifer kann mithilfe verschiedener
Protokolle Administrationsrechte erlangen.
CVE-2014-6562: Schwachstelle in der Bibliotheks-Komponente ermöglicht das
Erlangen von Administrationsrechten
Eine Schwachstelle in der Bibliotheks-Komponente von Java SE führt dazu,
dass durch nicht autorisierten Netzwerkverkehr über verschiedene Protokolle
das System übernommen und beliebiger Programmcode mit Administrationsrechten
ausgeführt werden kann. Es sind nur Java Web Start Anwendungen und Applets,
die in einer Sandbox laufen, betroffen. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch Administrationsrechte erlangen.
CVE-2014-6558: Schwachstelle in der Sicherheits-Komponente ermöglicht das
Manipulieren von Dateien
Eine Schwachstelle in der Sicherheits-Komponente von Java SE, Java SE
Embedded und JRockit führt dazu, dass durch Netzwerkangriffe durch
verschiedene Protokolle unberechtigter Aktualisierungs-, Einfüge- und
Lösch-Zugriff auf Daten erlangt wird. Außerdem wird ein lesender Zugriff auf
eine nicht näher beschriebene Teilmenge von Daten, auf die Java SE, Java SE
Embedded und JRockit Zugriff haben, möglich. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen.
CVE-2014-6531: Schwachstelle in der Bibliotheks-Komponente ermöglicht das
Ausspähen von Informationen
Eine Schwachstelle in der Bibliotheks-Komponente von Java SE und Java SE
Embedded führt dazu, dass durch nicht autorisierten Netzwerkverkehr via
HTTP, lesender Zugriff auf eine Teilmenge von Dateien erlangt wird, auf die
Java SE- und Java SE Embedded-Prozesse Zugriff haben. Die Schwachstelle kann
nur bei Java Web Start Anwendungen und Java Applets, die in einer Sandbox
laufen, ausgenutzt werden. Ein entfernter, nicht authentifizierter Angreifer
kann durch präparierten HTTP Verkehr unberechtigten Zugriff auf
Informationen erhalten.
CVE-2014-6519: Schwachstelle in Hotspot-Komponente ermöglicht die
Manipulation von Dateien
Eine Schwachstelle in der Hotspot-Komponente von Java SE und Java SE
Embedded führt dazu, dass durch unberechtigte Netzwerkaktivitäten
Aktualisierungs-, Einfüge- und Lösch-Zugriff auf eine Teilmenge von Daten
erreicht wird, die Java SE- und Java SE Embedded-Prozesse im Zugriff haben.
Die Schwachstelle kann nur bei Java Web Start Anwendungen und Java Applets,
die in einer Sandbox laufen, ausgenutzt werden. Ein entfernter, nicht
authentifiziert Angreifer kann durch nicht näher beschriebene
Netzwerkaktionen unerlaubten Zugriff auf Informationen erlangen.
CVE-2014-6517: Schwachstelle in JAXP-Komponente ermöglicht Ausspähen von
Informationen
Eine Schwachstelle in der JAXP-Komponente von Java SE, Java SE Embedded und
JRockit ermöglicht durch Netzwerkaktivitäten mithilfe verschiedener
Protokolle unberechtigten Lesezugriff auf eine Teilmenge von Daten.
Betroffen sind Daten auf die Java SE-, Java SE Embedded- und
JRockit-Anwendungen Zugriff haben. Diese Schwachstelle betrifft sowohl die
Auslieferung von Java an Clients, wie auch an Server und kann durch Java Web
Start Anwendungen und Java Applets, die in einer Sandbox laufen, oder via
API-Aufruf ohne Sandbox ausgenutzt werden. Ein entfernter, nicht
authentifiziert Angreifer kann Informationen auslesen.
CVE-2014-6512: Schwachstelle in der Bibliotheks-Komponente ermöglicht
Manipulation von Dateien
Eine Schwachstelle in der Bibliotheks-Komponente von Java SE, Java SE
Embedded und JRockit führt dazu, dass durch Netzwerkangriffe mithilfe von
verschiedenen Protokollen, unberechtigter Aktualisierungs-, Einfüge- und
Lösch-Zugriff auf Daten, auf die Java SE-, Java SE Embedded- und
JRockit-Anwendungen Zugriff haben, erlangt werden kann. Ein entfernter,
nicht authentifizierter Angreifer kann lesenden und schreibenden Zugriff auf
Dateien erlangen.
CVE-2014-6511: Schwachstelle in 2D-Komponente ermöglicht Ausspähen von
Informationen
Eine Schwachstelle in der 2D-Komponente von Java SE führt dazu, dass durch
unberechtigte Netzwerkaktivitäten ein lesender Zugriff auf Teilmengen von
Daten erreicht wird, auf die Java SE-Prozesse Zugriff haben. Die
Schwachstelle kann nur bei Java Web Start Anwendungen und Java Applets, die
in einer Sandbox laufen, ausgenutzt werden. Ein entfernter, nicht
authentifiziert Angreifer kann dadurch unerlaubten Zugriff auf Informationen
erlangen.
CVE-2014-6506: Schwachstelle in Bibliotheks-Komponente ermöglicht die
Manipulation von Dateien
Eine Schwachstelle in der Bibliotheks-Komponente von Java SE und Java SE
Embedded führt dazu, dass durch Netzwerkangriffe mithilfe von verschiedenen
Protokollen, unberechtigter Aktualisierungs-, Einfüge- und Lösch-Zugriff auf
Daten erlangt wird, auf die Java SE und Java SE Embedded Zugriff haben sowie
ein Denial-of-Service-Zustand bewirkt werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann durch nicht näher beschriebene
Netzwerkangriffe mithilfe verschiedener Protokolle, lesenden und
schreibenden Zugriff auf Dateien erlangen und einen
Denial-of-Service-Angriff durchführen.
CVE-2014-6504: Schwachstelle in der Hotspot-Komponente erlaubt Zugriff auf
Informationen
Eine Schwachstelle in der Hotspot-Komponente von Java SE und Java SE
Embedded führt dazu, dass durch unberechtigte Netzwerkaktivitäten ein
lesender Zugriff auf eine Teilmengen von Daten erreicht wird, die Java SE-
und Java SE Embedded-Prozesse im Zugriff haben. Die Schwachstelle kann nur
bei Java Web Start und Java Applets, die in einer Sandbox laufen, ausgenutzt
werden. Ein entfernter, nicht authentifiziert Angreifer kann durch nicht
näher beschriebene Netzwerkaktionen unerlaubten Zugriff auf Informationen
erlangen.
CVE-2014-6502: Schwachstelle in Bibliotheks-Komponente ermöglicht
Manipulation von Dateien
Eine Schwachstelle in der Bibliotheks-Komponente von Java SE und Java SE
Embedded führt dazu, dass durch Netzwerkangriffe mithilfe von verschiedenen
Protokollen, unberechtigter Aktualisierungs-, Einfüge- und Lösch-Zugriff auf
Daten erlangt wird, auf die Java SE und Java SE Embedded Zugriff haben. Ein
entfernter, nicht authentifizierter Angreifer kann lesenden und schreibenden
Zugriff auf Dateien erlangen.
CVE-2014-6468: Schwachstelle in Hotspot-Komponente ermöglicht das Erlangen
von Administrationsrechten
Eine nicht näher beschriebene Schwachstelle in der Hotspot-Komponente von
Java SE führt dazu, dass durch nicht näher beschriebene Aktionen,
Administrationsrechte erlangt werden können. Ein lokaler, authentifizierter
Angreifer kann die Schwachstelle ausnutzen.
CVE-2014-6457: Schwachstelle in JSSE ermöglicht das Manipulieren von Dateien
Eine Schwachstelle in der Komponente JSSE von Java SE, Java SE Embedded und
JRockit führt dazu, dass durch Netzwerkangriffe via SSL/TLS unberechtigter
Aktualisierungs-, Einfüge- und Lösch-Zugriff auf Daten erlangt wird.
Außerdem wird ein lesender Zugriff auf eine nicht näher beschriebene
Teilmenge von Daten, auf die Java SE, Java SE Embedded und JRockit Zugriff
haben, möglich. Ein entfernter, nicht authentifizierter Angreifer kann via
SSL/TLS lesenden und teilweise schreibenden Zugriff auf Dateien erlangen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1356/
Red Hat Security Advisory RHSA-2014:1620:
http://rhn.redhat.com/errata/RHSA-2014-1620.html
Red Hat Security Advisory RHSA-2014:1633:
http://rhn.redhat.com/errata/RHSA-2014-1633.html
Red Hat Security Advisory RHSA-2014:1634:
http://rhn.redhat.com/errata/RHSA-2014-1634.html
Red Hat Security Advisory RHSA-2014:1636:
http://rhn.redhat.com/errata/RHSA-2014-1636.html
Schwachstelle CVE-2014-6457 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6457
Schwachstelle CVE-2014-6468 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6468
Schwachstelle CVE-2014-6502 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6502
Schwachstelle CVE-2014-6504 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6504
Schwachstelle CVE-2014-6506 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6506
Schwachstelle CVE-2014-6511 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6511
Schwachstelle CVE-2014-6512 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6512
Schwachstelle CVE-2014-6513 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6513
Schwachstelle CVE-2014-6517 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6517
Schwachstelle CVE-2014-6519 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6519
Schwachstelle CVE-2014-6527 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6527
Schwachstelle CVE-2014-6531 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6531
Schwachstelle CVE-2014-6558 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6558
Schwachstelle CVE-2014-6562 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6562
Ubuntu Security Notice USN-2386-1:
http://www.ubuntu.com/usn/usn-2386-1/
Ubuntu Security Notice USN-2388-1:
http://www.ubuntu.com/usn/usn-2388-1/
Ubuntu Security Notice USN-2388-2:
http://www.ubuntu.com/usn/usn-2388-2/
SUSE Security Update SUSE-SU-2014:1422-1:
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00013.html
Debian Security Advisory DSA-3077-1:
https://www.debian.org/security/2014/dsa-3077
Debian Security Advisory DSA-3080-1:
https://www.debian.org/security/2014/dsa-3080
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
