Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 10 (02.02.2016):
Canonical stellt für Ubuntu 12.04 LTS ein Sicherheitsupdate für OpenJDK 6
bereit, welches die Schwachstellen CVE-2016-0402, CVE-2016-0448,
CVE-2016-0466, CVE-2016-0483 und CVE-2016-0494 adressiert. Die ebenfalls
verfügbaren Sicherheitsupdates für Ubuntu 15.10, Ubuntu 15.04 und Ubuntu
14.04 LTS für OpenJDK 7 adressieren zusätzlich die Schwachstelle
CVE-2015-7575.
Version 9 (29.01.2016):
openSUSE stellt für die Distribution openSUSE Leap 42.1 Sicherheitsupdates
für OpenJDK 7 zur Verfügung. Über das Update werden neun
Sicherheitsanfälligkeiten adressiert, zu denen mit Ausnahme der
CVE-2016-0475 alle hier genannten Schwachstellen gehören. Zusätzlich
listet das openSUSE Sicherheitsupdate die Schwachstelle CVE-2015-4871 auf
(nicht in diese Meldung übernommen), die von Oracle bereits im Oktober
2015 behoben wurde, schwer auszunutzen ist und einem entfernten, nicht
authentifizierten Angreifer das Manipulieren und Ausspähen einiger über
Java SE zugreifbarer Daten ermöglicht.
Version 8 (28.01.2016):
Für die Distributionen Debian Linux Wheezy (oldstable) und Jessie (stable)
stehen Sicherheitsupdates für OpenJDK 7 zur Verfügung, welche die
Schwachstellen CVE-2015-7575, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466,
CVE-2016-0483 und CVE-2016-0494 adressieren.
Version 7 (28.01.2016):
Für SUSE Linux Enterprise Server 12-SP1 und 12 sowie Desktop 12-SP1, 12,
11-SP4 und 11-SP3 stehen Sicherheitsupdates für OpenJDK 1.7.0 zur
Verfügung. Für die Distributionen openSUSE Leap 42.1 stehen
Sicherheitsupdates für OpenJDK 1.8.0, für openSUSE 13.2 für OpenJDK 1.8.0
und OpenJDK 1.7.0 bereit und für openSUSE 13.1 wurde OpenJDK 1.7.0
ebenfalls auf Java 7u95 / IcedTea 2.6.4 aktualisiert.
Version 6 (27.01.2016):
Für SUSE Linux Enterprise Server 12 SP1 und Desktop 12 SP1 stehen
Sicherheitsupdates für OpenJDK 1.8.0 zur Verfügung.
Version 5 (26.01.2016):
Red Hat stellt für Red Hat Enterprise Linux 5, 6 und 7 Sicherheitsupdates
für OpenJDK 6 zur Verfügung, welche die Schwachstellen CVE-2016-0402,
CVE-2016-0448, CVE-2016-0466, CVE-2016-0483 und CVE-2016-0494 adressieren.
Version 4 (21.01.2016):
Red Hat stellt jetzt auch für die Red Hat Enterprise Linux 5 Produkte
Desktop und Server sowie die Red Hat Enterprise Linux 7 Produkte Desktop,
HPC Node, Server und Workstation Sicherheitsupdates für OpenJDK 7 bereit,
welche neben CVE-2015-7575 und den 2016er Schwachstellen zusätzlich die
Schwachstelle CVE-2015-4871 adressieren, die für Oracle Java SE Versionen
bereits mit Oracle Critical Patch Update Advisory – Oktober 2015
(CPUOct2015) behoben wurde und deshalb an dieser Stelle nicht aufgenommen
wird.
Version 3 (21.01.2016):
Red Hat stellt für die Red Hat Enterprise Linux 5, 6 und 7 Produkte
Desktop, HPC Node, Server und Workstation sowie für Red Hat Enterprise
Linux Server EUS (v. 6.7.z) Sicherheitsupdates für die Oracle Java SE
Versionen 6, 7 und 8 (diese beinhalten jeweils Oracle Java Runtime
Environment und Oracle Java Software Development Kit) zur Behebung der für
die jeweiligen Versionen relevanten Schwachstellen zur Verfügung. Mit
einem Sicherheitsupdate für OpenJDK 7 wird zusätzlich die Schwachstelle
CVE-2015-4871 adressiert, die für andere Versionen bereits mit Oracle
Critical Patch Update Advisory – Oktober 2015 (CPUOct2015) behoben wurde
und deshalb an dieser Stelle nicht aufgenommen wird. Für die
Distributionen Fedora 22 und Fedora 23 werden Sicherheitsupdates für
OpenJDK 8 in Form der Pakete java-1.8.0-openjdk-1.8.0.71-1.b15.fc22 und
java-1.8.0-openjdk-1.8.0.71-1.b15.fc23 bereitgestellt, die sich derzeit
noch im Status ‘pending’ befinden.
Version 2 (21.01.2016):
Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop,
HPC Node, Server und Workstation sowie für Red Hat Enterprise Linux Server
EUS (v. 6.7.z) Sicherheitsupdates für OpenJDK 8 zur Adressierung der
2016er Schwachstellen und der CVE-2015-7575 bereit.
Version 1 (20.01.2016):
Neues Advisory
Betroffene Software:
Oracle Java SE <= 6u105 Oracle Java SE <= 7u91 Oracle Java SE <= 8u66 Oracle Java SE Embedded <= 8u65 Oracle JRockit <= R28.3.8 OpenJDK 1.6.0 OpenJDK 1.7.0 OpenJDK 1.8.0 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.04 Canonical Ubuntu Linux 15.10 Debian Linux 7.9 Wheezy Debian Linux 8.2 Jessie GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 SUSE Linux Enterprise Desktop 10 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 11 SP4 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 12 SUSE Linux Enterprise Server 12 SP1 Oracle Solaris Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 22 Red Hat Fedora 23 Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem nicht authentifizierten, entfernten Angreifer unerlaubt Lesezugriff auf Daten zu erlangen, unautorisiert Schreibzugriffe auf Dateien zu erlangen, partielle Denial-of-Service (DoS)-Zustände auszulösen oder das betroffene Betriebssytem zu übernehmen und somit auch beliebigen Programmcode auszuführen. Fünf der aufgeführten Schwachstellen betreffen ausschließlich Client Installationen, die Schwachstellen CVE-2016-0483, CVE-2016-0475, CVE-2016-0466 und CVE-2015-7575 betreffen Client und Server Installationen. Patch: Oracle Critical Patch Update Advisory - Januar 2016 (CPUJan2016) http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Patch:
Fedora Security Update FEDORA-2016-3ea667977a (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3ea667977a
Patch:
Fedora Security Update FEDORA-2016-946b98126d (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-946b98126d
Patch:
Red Hat Security Advisory RHSA-2016:0049
http://rhn.redhat.com/errata/RHSA-2016-0049.html
Patch:
Red Hat Security Advisory RHSA-2016:0050
http://rhn.redhat.com/errata/RHSA-2016-0050.html
Patch:
Red Hat Security Advisory RHSA-2016:0053
http://rhn.redhat.com/errata/RHSA-2016-0053.html
Patch:
Red Hat Security Advisory RHSA-2016:0054
http://rhn.redhat.com/errata/RHSA-2016-0054.html
Patch:
Red Hat Security Advisory RHSA-2016:0055
http://rhn.redhat.com/errata/RHSA-2016-0055.html
Patch:
Red Hat Security Advisory RHSA-2016:0056
http://rhn.redhat.com/errata/RHSA-2016-0056.html
Patch:
Red Hat Security Advisory RHSA-2016:0057
http://rhn.redhat.com/errata/RHSA-2016-0057.html
Patch:
Red Hat Security Advisory RHSA-2016:0067
http://rhn.redhat.com/errata/RHSA-2016-0067.html
Patch:
SUSE Security Update SUSE-SU-2016:0256-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160256-1.html
Patch:
Debian Security Advisory DSA-3458-1
https://www.debian.org/security/2016/dsa-3458
Patch:
SUSE Security Update SUSE-SU-2016:0265-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160265-1.html
Patch:
SUSE Security Update SUSE-SU-2016:0269-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160269-1.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0272-1
http://lists.opensuse.org/opensuse-updates/2016-01/msg00109.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0263-1
http://lists.opensuse.org/opensuse-updates/2016-01/msg00104.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0268-1
http://lists.opensuse.org/opensuse-updates/2016-01/msg00106.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0270-1
http://lists.opensuse.org/opensuse-updates/2016-01/msg00107.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0279-1
http://lists.opensuse.org/opensuse-updates/2016-01/msg00110.html
Patch:
Ubuntu Security Notice USN-2884-1
http://www.ubuntu.com/usn/usn-2884-1/
Patch:
Ubuntu Security Notice USN-2885-1 (Ubuntu 12.04 LTS)
http://www.ubuntu.com/usn/usn-2885-1/
CVE-2016-0494: Schwachstelle in Java SE und Java SE Embedded ermöglicht das
Erlangen von Administratorrechten
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u105, Java SE 7u91, Java SE 8u66 und Java SE Embedded 8u65
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2016-0483: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht das Erlangen von Administratorrechten
Eine leicht auszunutzende Schwachstelle in der Subkomponente AWT von Oracle
Java SE 6u105, Java SE 7u91, Java SE 8u66, Java SE Embedded 8u65 und JRockit
R28.3.8 ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert das Betriebssystem zu übernehmen und
somit auch beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft
Client und Server Installationen von Java und kann über Sandboxed Java Web
Start Anwendungen und Sandboxed Java Applets ausgenutzt werden, aber auch
ohne diese durch Datenübermittlung an APIs in der spezifischen Komponente,
z.B. durch einen Web Service.
CVE-2016-0475: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen und Manipulation von Dateien
Eine schwer auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 6u105, Java SE 7u91, Java SE 8u66, Java SE Embedded 8u65 und
JRockit R28.3.8 ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle unautorisiert einige über Java SE,
Java SE Embedded und JRockit zugreifbare Daten einzufügen, zu verändern oder
zu löschen und eine Untermenge der über Java SE, Java SE Embedded und
JRockit zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft Client und
Server Installationen von Java und kann über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden, aber auch ohne
diese durch Datenübermittlung an APIs in der spezifischen Komponente, z.B.
durch einen Web Service.
CVE-2016-0466: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u105, Java SE 7u91, Java SE 8u66, Java SE Embedded 8u65 und JRockit
R28.3.8 ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert einen partiellen Denial-of-Service
(DoS)-Zustand zu verursachen. Diese Schwachstelle betrifft Client und Server
Installationen von Java und kann über Sandboxed Java Web Start Anwendungen
und Sandboxed Java Applets ausgenutzt werden, aber auch ohne diese durch
Datenübermittlung an APIs in der spezifischen Komponente, z.B. durch einen
Web Service.
CVE-2016-0448: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente JMX von Oracle
Java SE 6u105, Java SE 7u91, Java SE 8u66 und Java SE Embedded 8u65
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert eine Untermenge der über Java SE und
Java SE Embedded zugreifbaren Daten zu lesen. Diese Schwachstelle betrifft
ausschließlich Client Installationen von Java und kann nur über Sandboxed
Java Web Start Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2016-0402: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Manipulation von Dateien
Eine leicht auszunutzende Schwachstelle in der Subkomponente Networking von
Oracle Java SE 6u105, Java SE 7u91, Java SE 8u66 und Java SE Embedded 8u65
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert einige über Java SE und Java SE
Embedded zugreifbare Daten einzufügen, zu verändern oder zu löschen. Diese
Schwachstelle betrifft ausschließlich Client Installationen von Java und
kann nur über Sandboxed Java Web Start Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
CVE-2015-7575: Schwachstelle in Network Security Services ermöglicht das
Umgehen von Sicherheitsvorkehrungen
Eine Schwachstelle in den Network Security Services (NSS) basiert auf der
Akzeptanz von MD5 als Hash-Algorithmus für Server-Signaturen innerhalb von
TLS 1.2 ServerKeyExchange Nachrichten. NSS hat MD5 eigentlich seit dem Jahr
2011 offiziell verboten, nur umgesetzt wurde es nicht vollständig. Damit
werden NSS-basierte Client-Anwendungen wie z.B. Firefox anfällig für
Fälschungsangriffe, die durch Kollisionen verursacht sind.
CVE-2015-8472: Schwachstellen in libpng erlauben Denial-of-Service-Angriffe
Mehrere Pufferüberlauf-Schwachstellen existierten in den Funktionen (1)
‘png_set_PLTE’ und (2) ‘png_get_PLTE’ in libpng bevor 1.0.64, 1.1.x und
1.2.x bevor 1.2.54, 1.3.x und 1.4.x bevor 1.4.17, 1.5.x bevor 1.5.24 und
1.6.x bevor 1.6.19 und der Subkomponente AWT von Oracle Java SE 6u105, 7u91
und 8u66 sowie Java SE Embedded 8u65. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstellen ausnutzen, um einen Absturz der
Anwendung (Denial-of-Service) zu verursachen oder möglicherweise weitere
Angriffe durchzuführen. Dieser CVE Identifier wurde zusätzlich zu
CVE-2015-8126 vergeben. Diese Schwachstellen betreffen ausschließlich Client
Installationen von Java und können nur über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden.
CVE-2015-8126: Schwachstellen in libpng erlauben Denial-of-Service-Angriffe
Mehrere Pufferüberlauf-Schwachstellen existieren in den Funktionen (1)
‘png_set_PLTE’ und (2) ‘png_get_PLTE’ in libpng bevor 1.0.64, 1.1.x und
1.2.x bevor 1.2.54, 1.3.x und 1.4.x bevor 1.4.17, 1.5.x bevor 1.5.24 und
1.6.x bevor 1.6.19 und der Subkomponente AWT von Oracle Java SE 6u105, 7u91
und 8u66 sowie Java SE Embedded 8u65. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstellen ausnutzen, mittels eines kleinen
‘bit-depth’-Wertes in einem IHDR (aka image header) Chunk in einer
PNG-Bilddatei, um einen Absturz der Anwendung (Denial-of-Service) zu
verursachen oder möglicherweise weitere Angriffe durchzuführen. Diese
Schwachstellen betreffen ausschließlich Client Installationen von Java und
können nur über Sandboxed Java Web Start Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0100/
Schwachstelle CVE-2015-8126 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8126
Schwachstelle CVE-2015-8472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8472
Schwachstelle CVE-2015-7575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7575
Oracle Critical Patch Update Advisory – Januar 2016 (CPUJan2016):
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Schwachstelle CVE-2016-0402 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0402
Schwachstelle CVE-2016-0448 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0448
Schwachstelle CVE-2016-0466 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0466
Schwachstelle CVE-2016-0475 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0475
Schwachstelle CVE-2016-0483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0483
Schwachstelle CVE-2016-0494 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0494
Fedora Security Update FEDORA-2016-3ea667977a (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3ea667977a
Fedora Security Update FEDORA-2016-946b98126d (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-946b98126d
Red Hat Security Advisory RHSA-2016:0049:
http://rhn.redhat.com/errata/RHSA-2016-0049.html
Red Hat Security Advisory RHSA-2016:0050:
http://rhn.redhat.com/errata/RHSA-2016-0050.html
Red Hat Security Advisory RHSA-2016:0053:
http://rhn.redhat.com/errata/RHSA-2016-0053.html
Red Hat Security Advisory RHSA-2016:0054:
http://rhn.redhat.com/errata/RHSA-2016-0054.html
Red Hat Security Advisory RHSA-2016:0055:
http://rhn.redhat.com/errata/RHSA-2016-0055.html
Red Hat Security Advisory RHSA-2016:0056:
http://rhn.redhat.com/errata/RHSA-2016-0056.html
Red Hat Security Advisory RHSA-2016:0057:
http://rhn.redhat.com/errata/RHSA-2016-0057.html
Red Hat Security Advisory RHSA-2016:0067:
http://rhn.redhat.com/errata/RHSA-2016-0067.html
SUSE Security Update SUSE-SU-2016:0256-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160256-1.html
Debian Security Advisory DSA-3458-1:
https://www.debian.org/security/2016/dsa-3458
SUSE Security Update SUSE-SU-2016:0265-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160265-1.html
SUSE Security Update SUSE-SU-2016:0269-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160269-1.html
openSUSE Security Update openSUSE-SU-2016:0272-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00109.html
openSUSE Security Update openSUSE-SU-2016:0263-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00104.html
openSUSE Security Update openSUSE-SU-2016:0268-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00106.html
openSUSE Security Update openSUSE-SU-2016:0270-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00107.html
openSUSE Security Update openSUSE-SU-2016:0279-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00110.html
Ubuntu Security Notice USN-2884-1:
http://www.ubuntu.com/usn/usn-2884-1/
Ubuntu Security Notice USN-2885-1 (Ubuntu 12.04 LTS):
http://www.ubuntu.com/usn/usn-2885-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
