Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (27.04.2015):
Debian stellt für die Distribution Wheezy (7.8) Sicherheitsupdates für
OpenJDK 6 und 7 zur Verfügung. Für die neue stabile Distribution Debian
Jessie (8.0) ist ein Sicherheitsupdate für OpenJDK 7 angekündigt. Die
Schwachstelle CVE-2005-1080 wir in den Herstellerinformationen nicht
genannt.
Version 2 (21.04.2015):
Für Ubuntu 14.10 und Ubuntu 14.04 LTS werden Sicherheitsupdates für
OpenJDK JRE Version 7, für Ubuntu 12.04 LTS und Ubuntu 10.04 LTS für
OpenJDK JRE Version 6 zur Verfügung gestellt. Die Schwachstelle
CVE-2015-0470 betrifft nur OpenJDK JRE Version 8.
Version 1 (15.04.2015):
Neues Advisory
Betroffene Software:
OpenJDK 1.6.0
OpenJDK 1.7.0
OpenJDK 1.8.0
Betroffene Plattformen:
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Mehrere kritische Schwachstellen in OpenJDK ermöglichen einem entfernten,
nicht authentisierten Angreifer die Durchführung von
Denial-of-Service-Angriffen, das Ausspähen von Informationen, das
Manipulieren von Dateien, das Ausführen beliebigen Programmcodes und
letztlich die Übernahme der Systemkontrolle. Für verschiedene Red Hat
Enterprise Linux 5, 6 und 7 Produkte stehen Sicherheitsupdates für Oracle
Java OpenJDK Version 6, 7 und 8 zur Verfügung. Die Schwachstelle
CVE-2015-0470 betrifft nur die Version 8 für Red Hat Enterprise Linux 6 und
7.
Patch:
Red Hat Security Advisory RHSA-2015-0806
http://rhn.redhat.com/errata/RHSA-2015-0806.html
Patch:
Red Hat Security Advisory RHSA-2015-0808
http://rhn.redhat.com/errata/RHSA-2015-0808.html
Patch:
Red Hat Security Advisory RHSA-2015-0809
http://rhn.redhat.com/errata/RHSA-2015-0809.html
Patch:
Oracle Critical Patch Update April 2015
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
Patch:
Red Hat Security Advisory RHSA-2015-0807
http://rhn.redhat.com/errata/RHSA-2015-0807.html
Patch:
Ubuntu Security Notice USN-2573-1
http://www.ubuntu.com/usn/usn-2573-1/
Patch:
Ubuntu Security Notice USN-2574-1
http://www.ubuntu.com/usn/usn-2574-1/
Patch:
Debian Security Advisory DSA-3234-1
https://www.debian.org/security/2015/dsa-3234
Patch:
Debian Security Advisory DSA-3235-1
https://www.debian.org/security/2015/dsa-3235
CVE-2005-1080: Schwachstelle in Java ermöglicht Directory Traversal
J2SE SDK 1.4.2 und 1.5 sowie OpenJDK enthalten eine
Directory-Traversal-Schwachstelle im Code, der für das Entpacken von
JAR-Archivdateien zuständig ist. Dies ermöglicht einem entfernten Angreifer
ohne Authentifizierung durch das Senden oder Bereitstellen einer
präparierten JAR-Archivdatei, beliebige für den Benutzer schreibbare Dateien
zu überschreiben.
CVE-2015-0488: Schwachstelle in Oracle Java SE und JRockit ermöglicht
Denial-of-Service-Angriff
OpenJDK, Oracle Java SE und JRockit enthalten in der Implementierung des
SSL/TLS-Protokolls in der JSSE-Komponente eine Schwachstelle im Parser von
X.509-Zertifikaten. Betroffen sind die Versionen Java SE 5.0u81, Java SE
6u91, Java SE 7u76, Java SE 8u40 sowie JRockit R28.3.5. Dies ermöglicht
einem entfernten, nicht authentifizierten Angreifer durch das Senden eines
präparierten Zertifikats die Anwendung zum Absturz zu bringen.
CVE-2015-0480: Schwachstelle in Java ermöglicht Directory Traversal
OpenJDK und Oracle Java in den Versionen Java SE 5.0u81, Java SE 6u91, Java
SE 7u76, Java SE 8u40 enthalten eine Directory Traversal Schwachstelle im
Code, der für das Entpacken von JAR-Archivdateien zuständig ist. Dies
ermöglicht einem entfernten Angreifer ohne Authentifizierung durch das
Senden oder Bereitstellen einer präparierten JAR-Archivdatei, beliebige für
den Benutzer schreibbare Dateien zu überschreiben.
CVE-2015-0478: Schwachstelle in Java schränkt Vertraulichkeit ein
Die RSA-Implementierung in der JCE-Komponente in OpenJDK, Java SE und
JRockit entspricht nicht den aktuellen Sicherheitsempfehlungen. Dies
ermöglicht einem entfernten Angreifer ohne Authentifizierung vertrauliche
Daten auszuspähen. Betroffen sind von dieser Schwachstelle Java SE 5.0u81,
Java SE 6u91, Java SE 7u76, Java SE 8u40 und JRockit R28.3.5
CVE-2015-0477: Schwachstelle in Java ermöglicht Beeinträchtigung der
Integrität
Java enthält in der Komponente Beans der Versionen Java SE 5.0u81, Java SE
6u91, Java SE 7u76 und Java SE 8u40 eine nicht näher beschriebene
Schwachstelle. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer die Integrität teilweise zu beeinträchtigen.
CVE-2015-0470: Schwachstelle in Java ermöglicht Manipulation von Daten
Die Hotspot-Komponente von Java enthält eine nicht näher spezifizierte
Schwachstelle. Diese ermöglicht einem entfernten, nicht authentifizierten
Angreifer die Integrität teilweise zu beeinträchtigen. Betroffen ist Oracle
Java SE 8u40.
CVE-2015-0469: Schwachstelle in Java ermöglicht Ausführung beliebiger
Befehle
OpenJDK und Oracle Java SE in den Versionen 5.0u81, 6u91, 7u76 und 8u40
enthält eine Buffer-Overflow-Schwachstelle im Font-Parser der
2D-Subkomponente. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer, durch das Senden oder Bereitstellen einer präparierten
Font-Datei, beliebige Befehle in der Java VM zur Ausführung zu bringen.
CVE-2015-0460: Schwachstelle in der Java-Hotspot-Komponente ermöglicht
Ausführung beliebiger Befehle
OpenJDK und Oracle Java in den Versionen SE 5.0u81, SE 6u91, SE 7u76, SE
8u40 verarbeitet in der Hotspot-Subkomponente Phantom-Referenzen nicht
fehlerfrei. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer mit einer nicht vertrauenswürdigen Java-Anwendung den Speicher der
Java VM zu korrumpieren, somit die Beschränkungen der Sandbox zu umgehen und
beliebige Befehle zur Ausführung zu bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0554/
Red Hat Security Advisory RHSA-2015-0806:
http://rhn.redhat.com/errata/RHSA-2015-0806.html
Red Hat Security Advisory RHSA-2015-0808:
http://rhn.redhat.com/errata/RHSA-2015-0808.html
Red Hat Security Advisory RHSA-2015-0809:
http://rhn.redhat.com/errata/RHSA-2015-0809.html
Oracle Critical Patch Update April 2015:
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
Red Hat Security Advisory RHSA-2015-0807:
http://rhn.redhat.com/errata/RHSA-2015-0807.html
Schwachstelle CVE-2005-1080 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2005-1080
Schwachstelle CVE-2015-0460 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0460
Schwachstelle CVE-2015-0469 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0469
Schwachstelle CVE-2015-0470 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0470
Schwachstelle CVE-2015-0477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0477
Schwachstelle CVE-2015-0478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0478
Schwachstelle CVE-2015-0480 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0480
Schwachstelle CVE-2015-0488 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0488
Ubuntu Security Notice USN-2573-1:
http://www.ubuntu.com/usn/usn-2573-1/
Ubuntu Security Notice USN-2574-1:
http://www.ubuntu.com/usn/usn-2574-1/
Debian Security Advisory DSA-3234-1:
https://www.debian.org/security/2015/dsa-3234
Debian Security Advisory DSA-3235-1:
https://www.debian.org/security/2015/dsa-3235
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
