Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 10 (11.05.2016):
Canonical stellt für Ubuntu 12.04 LTS Sicherheitsupdates für OpenJDK 6
bereit und behebt damit die Schwachstellen CVE-2016-0686, CVE-2016-0687,
CVE-2016-0695, CVE-2016-3425 und CVE-2016-3427.
Version 9 (09.05.2016):
Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates für das
Paket ‘java-1.6.0-openjdk’ zur Verfügung, die die Schwachstellen
CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425 und
CVE-2016-3427 beheben. Betroffen sind die Red Hat Enterprise Linux
Produkte Desktop 5, 6 und 7, HPC Node 6, 7 und EUS 7.2, Workstation 6 und
7 sowie Server 5, 6, 7, EUS 6.7.z, EUS 7.2 sowie AUS 7.2.
Version 8 (09.05.2016):
Für die Distribution openSUSE Leap 42.1 stehen Sicherheitsupdates für
OpenJDK 7 und OpenJDK 8 bereit, welche jeweils die Schwachstellen
CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425 und
CVE-2016-3427 adressieren. Für OpenJDK 8 wird zusätzlich die Schwachstelle
CVE-2016-3426 behoben.
Version 7 (06.05.2016):
Für die Distribution openSUSE 13.1 sowie für die Produkte SUSE Linux
Enterprise Server 12, Server 12 SP1, Desktop 12 und Desktop 12 SP1 stehen
Sicherheitsupdates für OpenJDK 7 auf Version 2.6.6 zur Behebung der
Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425
und CVE-2016-3427 bereit. Für SUSE Linux Enterprise Server 12 SP1 und
Desktop 12 SP1 stehen außerdem Sicherheitsupdates für OpenJDK 8 bereit,
welche zusätzlich die Schwachstelle CVE-2016-3426 adressieren.
Version 6 (06.05.2016):
Canonical stellt für Ubuntu 14.04 LTS und Ubuntu 15.10 Sicherheitsupdates
für OpenJDK 7 und für Ubuntu 16.04 LTS Sicherheitsupdates für OpenJDK 8
bereit. Mittels des Sicherheitsupdates für OpenJDK 7 werden die
Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425
und CVE-2016-3427 adressiert, das Advisory für OpenJDK 8 führt zusätzlich
noch die Schwachstelle CVE-2016-3426 auf.
Version 5 (04.05.2016):
Für openSUSE 13.2 stehen Sicherheitsupdates für openJDK 1.7 und 1.8
bereit, um die Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695,
CVE-2016-3425, CVE-2016-3426 (nur für openJDK 1.8 relevant) und
CVE-2016-3427 zu beheben.
Version 4 (27.04.2016):
Debian stellt für die Distribution Debian Jessie (stable)
Sicherheitsupdates für OpenJDK 7 zur Verfügung, die die Schwachstellen
CVE-2016-0636, CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425,
CVE-2016-3426 und CVE-2016-3427 beheben.
Version 3 (22.04.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates für java-1.8.0-openjdk
auf das Update u91 bereit. Die Sicherheitsupdates für Fedora 22 und 24
befinden sich im Status ‘testing’, das für Fedora 23 noch im Status
‘pending’.
Red Hat veröffentlicht für verschiedene Red Hat Enterprise Linux 5, 6 und
7 Produkte Sicherheitsupdates in Form aktualisierter OpenJDK 7, Oracle
Java SE 8, Oracle Java SE 7 und Oracle Java SE 6 Pakete.
Version 2 (20.04.2016):
Für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte stehen
Sicherheitsupdates für OpenJDK 8 zur Verfügung. Die Schwachstellen
CVE-2016-3422, CVE-2016-3443 und CVE-2016-3449 werden von Red Hat nicht
referenziert.
Version 1 (20.04.2016):
Neues Advisory
Betroffene Software:
Oracle Java SE <= 6u113 Oracle Java SE <= 7u99 Oracle Java SE <= 8u77 Oracle Java SE Embedded <= 8u77 Oracle JRockit <= R28.3.9 OpenJDK 1.6.0 OpenJDK 1.7.0 OpenJDK 1.8.0 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 LTS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 15.10 Canonical Ubuntu Linux 16.04 LTS Debian Linux 8.4 Jessie GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Server 12 SUSE Linux Enterprise Server 12 SP1 Oracle Solaris Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 5 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux HPC Node 7.2 EUS Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme und die Ausführung beliebigen Programmcodes, unerlaubten Lesezugriff auf Daten und das Auslösen partieller Denial-of-Service (DoS)-Zustände. Sechs dieser Schwachstellen betreffen hauptsächlich Client-Installationen, die auf die Java Sandbox als Sicherheit zurückgreifen. CVE-2016-3427 und CVE-2016-3425 betreffen Client- und Server-Installationen von Java. CVE-2016-0695 betrifft Client- und Server-Installationen der Java Secure Socket Extension (JSSE). Oracle empfiehlt Benutzern von Java SE in Browsern, die aktuelle Programmversion manuell zu installieren. Benutzern von Microsoft Windows und Mac OS X werden die entsprechenden Sicherheitsupdates über die automatischen Systemupdates zur Verfügung gestellt. Patch: Oracle Critical Patch Update Advisory - April 2016 (CPUApr2016) http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml
Patch:
Red Hat Security Advisory RHSA-2016:0650
http://rhn.redhat.com/errata/RHSA-2016-0650.html
Patch:
Red Hat Security Advisory RHSA-2016:0651
http://rhn.redhat.com/errata/RHSA-2016-0651.html
Patch:
Fedora Security Update FEDORA-2016-33ccc205e7 (Fedora 23,
java-1.8.0-openjdk-1.8.0.91)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-33ccc205e7
Patch:
Fedora Security Update FEDORA-2016-ad895e0c1c (Fedora 24,
java-1.8.0-openjdk-1.8.0.91)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ad895e0c1c
Patch:
Fedora Security Update FEDORA-2016-ff9e0c574c (Fedora 22,
java-1.8.0-openjdk-1.8.0.91)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ff9e0c574c
Patch:
Red Hat Security Advisory RHSA-2016:0675 (OpenJDK 7)
http://rhn.redhat.com/errata/RHSA-2016-0675.html
Patch:
Red Hat Security Advisory RHSA-2016:0676 (OpenJDK 7)
http://rhn.redhat.com/errata/RHSA-2016-0676.html
Patch:
Red Hat Security Advisory RHSA-2016:0677 (Oracle Java SE 8)
http://rhn.redhat.com/errata/RHSA-2016-0677.html
Patch:
Red Hat Security Advisory RHSA-2016:0678 (Oracle Java SE 7)
http://rhn.redhat.com/errata/RHSA-2016-0678.html
Patch:
Red Hat Security Advisory RHSA-2016:0679 (Oracle Java SE 6)
http://rhn.redhat.com/errata/RHSA-2016-0679.html
Patch:
Debian Security Advisory DSA-3558-1
https://www.debian.org/security/2016/dsa-3558
Patch:
openSUSE Security Update openSUSE-SU-2016:1222-1
https://lists.opensuse.org/opensuse-updates/2016-05/msg00022.html
Patch:
openSUSE Security Update openSUSE-SU-2016:1230-1
https://lists.opensuse.org/opensuse-updates/2016-05/msg00029.html
Patch:
SUSE Security Update SUSE-SU-2016:1248-1
https://www.suse.com/support/update/announcement/2016/suse-su-20161248-1.html
Patch:
SUSE Security Update SUSE-SU-2016:1250-1
https://www.suse.com/support/update/announcement/2016/suse-su-20161250-1.html
Patch:
Ubuntu Security Notice USN-2963-1
http://www.ubuntu.com/usn/usn-2963-1/
Patch:
Ubuntu Security Notice USN-2964-1
http://www.ubuntu.com/usn/usn-2964-1/
Patch:
openSUSE Security Update openSUSE-SU-2016:1235-1
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00012.html
Patch:
Red Hat Security Advisory RHSA-2016:0723-1
http://rhn.redhat.com/errata/RHSA-2016-0723.html
Patch:
openSUSE Security Update openSUSE-SU-2016:1262-1
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00026.html
Patch:
openSUSE Security Update openSUSE-SU-2016:1265-1
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00027.html
Patch:
Ubuntu Security Notice USN-2972-1
http://www.ubuntu.com/usn/usn-2972-1/
CVE-2016-3449: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3443: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3427: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente JMX von Oracle
Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit R28.3.9
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
Client- und Server-Installationen von Java und kann über Sandboxed Java Web
Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) von JMX angreifbar.
CVE-2016-3426: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in der Subkomponente JCE von Oracle
Java SE 8u77 und Java SE Embedded 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert, eine
Untermenge der über Java SE und Java SE Embedded erreichbaren Daten zu
lesen. Diese Schwachstelle betrifft hauptsächlich Client-Installationen von
Java und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3425: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit R28.3.9
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle einen Denial-of-Service-Zustand von Java SE, Java SE
Embedded und JRockit herbeizuführen. Diese Schwachstelle betrifft Client-
und Server-Installationen von Java und kann über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber hinaus
sind Java-basierte Web Services über die Programmschnittstellen (APIs) von
JAXP angreifbar.
CVE-2016-3422: Schwachstelle in Java SE ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle einen
Denial-of-Service-Zustand von Java SE herbeizuführen. Diese Schwachstelle
betrifft hauptsächlich Client-Installationen von Java und kann
beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
CVE-2016-0695: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in der Subkomponente Security von
Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit
R28.3.9 ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert, eine Untermenge der über Java SE,
Java SE Embedded und JRockit erreichbaren Daten zu lesen. Diese
Schwachstelle betrifft Client- und Server-Installationen der Java Secure
Socket Extension (JSSE).
CVE-2016-0687: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 ermöglicht
einem entfernten, nicht authentifizierten Angreifer über verschiedene
Protokolle unautorisiert die komplette Systemübernahme und damit die
Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2016-0686: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Serialization
von Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2016-0636: Schwachstelle in Java SE ermöglicht das Ausführen beliebigen
Programmcodes mit Systemrechten
In der Subkomponente Hotspot von Oracle Java SE 7u97, 8u73 und 8u74
existiert eine schwer auszunutzende Schwachstelle. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
unautorisiert das darunterliegende Betriebssystem zu übernehmen. Der
Angreifer kann dadurch auch beliebigen Programmcode auf dem System
ausführen. Diese Schwachstelle betrifft Client-Installationen und kann über
‘Sandboxed Java Web Start’-Anwendungen und ‘Sandboxed Java Applets’
ausgenutzt werden, welche auch nicht vertrauenswürdigen Programmcode laden
und ausführen und dabei ausschließlich auf die Sicherheit der Java Sandbox
vertrauen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0640/
Schwachstelle CVE-2016-0636 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0636
Oracle Critical Patch Update Advisory – April 2016 (CPUApr2016):
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml
Red Hat Security Advisory RHSA-2016:0650:
http://rhn.redhat.com/errata/RHSA-2016-0650.html
Red Hat Security Advisory RHSA-2016:0651:
http://rhn.redhat.com/errata/RHSA-2016-0651.html
Schwachstelle CVE-2016-0686 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0686
Schwachstelle CVE-2016-0687 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0687
Schwachstelle CVE-2016-0695 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0695
Schwachstelle CVE-2016-3422 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3422
Schwachstelle CVE-2016-3425 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3425
Schwachstelle CVE-2016-3426 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3426
Schwachstelle CVE-2016-3427 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3427
Schwachstelle CVE-2016-3443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3443
Schwachstelle CVE-2016-3449 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3449
Fedora Security Update FEDORA-2016-33ccc205e7 (Fedora 23,
java-1.8.0-openjdk-1.8.0.91):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-33ccc205e7
Fedora Security Update FEDORA-2016-ad895e0c1c (Fedora 24,
java-1.8.0-openjdk-1.8.0.91):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ad895e0c1c
Fedora Security Update FEDORA-2016-ff9e0c574c (Fedora 22,
java-1.8.0-openjdk-1.8.0.91):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ff9e0c574c
Red Hat Security Advisory RHSA-2016:0675 (OpenJDK 7):
http://rhn.redhat.com/errata/RHSA-2016-0675.html
Red Hat Security Advisory RHSA-2016:0676 (OpenJDK 7):
http://rhn.redhat.com/errata/RHSA-2016-0676.html
Red Hat Security Advisory RHSA-2016:0677 (Oracle Java SE 8):
http://rhn.redhat.com/errata/RHSA-2016-0677.html
Red Hat Security Advisory RHSA-2016:0678 (Oracle Java SE 7):
http://rhn.redhat.com/errata/RHSA-2016-0678.html
Red Hat Security Advisory RHSA-2016:0679 (Oracle Java SE 6):
http://rhn.redhat.com/errata/RHSA-2016-0679.html
Oracle Java SE Development Kit 8u91 Update Release Notes:
http://www.oracle.com/technetwork/java/javase/8u91-relnotes-2949462.html
Debian Security Advisory DSA-3558-1:
https://www.debian.org/security/2016/dsa-3558
openSUSE Security Update openSUSE-SU-2016:1222-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00022.html
openSUSE Security Update openSUSE-SU-2016:1230-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00029.html
SUSE Security Update SUSE-SU-2016:1248-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161248-1.html
SUSE Security Update SUSE-SU-2016:1250-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161250-1.html
Ubuntu Security Notice USN-2963-1:
http://www.ubuntu.com/usn/usn-2963-1/
Ubuntu Security Notice USN-2964-1:
http://www.ubuntu.com/usn/usn-2964-1/
openSUSE Security Update openSUSE-SU-2016:1235-1:
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00012.html
Red Hat Security Advisory RHSA-2016:0723-1:
http://rhn.redhat.com/errata/RHSA-2016-0723.html
openSUSE Security Update openSUSE-SU-2016:1262-1:
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00026.html
openSUSE Security Update openSUSE-SU-2016:1265-1:
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00027.html
Ubuntu Security Notice USN-2972-1:
http://www.ubuntu.com/usn/usn-2972-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
