Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (22.04.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates für java-1.8.0-openjdk
auf das Update u91 bereit. Die Sicherheitsupdates für Fedora 22 und 24
befinden sich im Status ‘testing’, das für Fedora 23 noch im Status
‘pending’.
Red Hat veröffentlicht für verschiedene Red Hat Enterprise Linux 5, 6 und
7 Produkte Sicherheitsupdates in Form aktualisierter OpenJDK 7, Oracle
Java SE 8, Oracle Java SE 7 und Oracle Java SE 6 Pakete.
Version 2 (20.04.2016):
Für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte stehen
Sicherheitsupdates für OpenJDK 8 zur Verfügung. Die Schwachstellen
CVE-2016-3422, CVE-2016-3443 und CVE-2016-3449 werden von Red Hat nicht
referenziert.
Version 1 (20.04.2016):
Neues Advisory
Betroffene Software:
Oracle Java SE <= 6u113 Oracle Java SE <= 7u99 Oracle Java SE <= 8u77 Oracle Java SE Embedded <= 8u77 Oracle JRockit <= R28.3.9 OpenJDK 1.7.0 OpenJDK 1.8.0 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Oracle Solaris Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux HPC Node 7.2 EUS Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme und die Ausführung beliebigen Programmcodes, unerlaubten Lesezugriff auf Daten und das Auslösen partieller Denial-of-Service (DoS)-Zustände. Sechs dieser Schwachstellen betreffen hauptsächlich Client-Installationen, die auf die Java Sandbox als Sicherheit zurückgreifen. CVE-2016-3427 und CVE-2016-3425 betreffen Client- und Server-Installationen von Java. CVE-2016-0695 betrifft Client- und Server-Installationen der Java Secure Socket Extension (JSSE). Oracle empfiehlt Benutzern von Java SE in Browsern, die aktuelle Programmversion manuell zu installieren. Benutzern von Microsoft Windows und Mac OS X werden die entsprechenden Sicherheitsupdates über die automatischen Systemupdates zur Verfügung gestellt. Patch: Oracle Critical Patch Update Advisory - April 2016 (CPUApr2016) http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml
Patch:
Red Hat Security Advisory RHSA-2016:0650
http://rhn.redhat.com/errata/RHSA-2016-0650.html
Patch:
Red Hat Security Advisory RHSA-2016:0651
http://rhn.redhat.com/errata/RHSA-2016-0651.html
Patch:
Fedora Security Update FEDORA-2016-33ccc205e7 (Fedora 23,
java-1.8.0-openjdk-1.8.0.91)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-33ccc205e7
Patch:
Fedora Security Update FEDORA-2016-ad895e0c1c (Fedora 24,
java-1.8.0-openjdk-1.8.0.91)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ad895e0c1c
Patch:
Fedora Security Update FEDORA-2016-ff9e0c574c (Fedora 22,
java-1.8.0-openjdk-1.8.0.91)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ff9e0c574c
Patch:
Red Hat Security Advisory RHSA-2016:0675 (OpenJDK 7)
http://rhn.redhat.com/errata/RHSA-2016-0675.html
Patch:
Red Hat Security Advisory RHSA-2016:0676 (OpenJDK 7)
http://rhn.redhat.com/errata/RHSA-2016-0676.html
Patch:
Red Hat Security Advisory RHSA-2016:0677 (Oracle Java SE 8)
http://rhn.redhat.com/errata/RHSA-2016-0677.html
Patch:
Red Hat Security Advisory RHSA-2016:0678 (Oracle Java SE 7)
http://rhn.redhat.com/errata/RHSA-2016-0678.html
Patch:
Red Hat Security Advisory RHSA-2016:0679 (Oracle Java SE 6)
http://rhn.redhat.com/errata/RHSA-2016-0679.html
CVE-2016-3449: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3443: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3427: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente JMX von Oracle
Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit R28.3.9
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
Client- und Server-Installationen von Java und kann über Sandboxed Java Web
Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) von JMX angreifbar.
CVE-2016-3426: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in der Subkomponente JCE von Oracle
Java SE 8u77 und Java SE Embedded 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert, eine
Untermenge der über Java SE und Java SE Embedded erreichbaren Daten zu
lesen. Diese Schwachstelle betrifft hauptsächlich Client-Installationen von
Java und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3425: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit R28.3.9
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle einen Denial-of-Service-Zustand von Java SE, Java SE
Embedded und JRockit herbeizuführen. Diese Schwachstelle betrifft Client-
und Server-Installationen von Java und kann über Sandboxed Java Web Start
Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber hinaus
sind Java-basierte Web Services über die Programmschnittstellen (APIs) von
JAXP angreifbar.
CVE-2016-3422: Schwachstelle in Java SE ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle einen
Denial-of-Service-Zustand von Java SE herbeizuführen. Diese Schwachstelle
betrifft hauptsächlich Client-Installationen von Java und kann
beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
CVE-2016-0695: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in der Subkomponente Security von
Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit
R28.3.9 ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert, eine Untermenge der über Java SE,
Java SE Embedded und JRockit erreichbaren Daten zu lesen. Diese
Schwachstelle betrifft Client- und Server-Installationen der Java Secure
Socket Extension (JSSE).
CVE-2016-0687: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 ermöglicht
einem entfernten, nicht authentifizierten Angreifer über verschiedene
Protokolle unautorisiert die komplette Systemübernahme und damit die
Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2016-0686: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Serialization
von Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0640/
Oracle Critical Patch Update Advisory – April 2016 (CPUApr2016):
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml
Red Hat Security Advisory RHSA-2016:0650:
http://rhn.redhat.com/errata/RHSA-2016-0650.html
Red Hat Security Advisory RHSA-2016:0651:
http://rhn.redhat.com/errata/RHSA-2016-0651.html
Schwachstelle CVE-2016-0686 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0686
Schwachstelle CVE-2016-0687 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0687
Schwachstelle CVE-2016-0695 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0695
Schwachstelle CVE-2016-3422 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3422
Schwachstelle CVE-2016-3425 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3425
Schwachstelle CVE-2016-3426 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3426
Schwachstelle CVE-2016-3427 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3427
Schwachstelle CVE-2016-3443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3443
Schwachstelle CVE-2016-3449 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3449
Fedora Security Update FEDORA-2016-33ccc205e7 (Fedora 23,
java-1.8.0-openjdk-1.8.0.91):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-33ccc205e7
Fedora Security Update FEDORA-2016-ad895e0c1c (Fedora 24,
java-1.8.0-openjdk-1.8.0.91):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ad895e0c1c
Fedora Security Update FEDORA-2016-ff9e0c574c (Fedora 22,
java-1.8.0-openjdk-1.8.0.91):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ff9e0c574c
Red Hat Security Advisory RHSA-2016:0675 (OpenJDK 7):
http://rhn.redhat.com/errata/RHSA-2016-0675.html
Red Hat Security Advisory RHSA-2016:0676 (OpenJDK 7):
http://rhn.redhat.com/errata/RHSA-2016-0676.html
Red Hat Security Advisory RHSA-2016:0677 (Oracle Java SE 8):
http://rhn.redhat.com/errata/RHSA-2016-0677.html
Red Hat Security Advisory RHSA-2016:0678 (Oracle Java SE 7):
http://rhn.redhat.com/errata/RHSA-2016-0678.html
Red Hat Security Advisory RHSA-2016:0679 (Oracle Java SE 6):
http://rhn.redhat.com/errata/RHSA-2016-0679.html
Oracle Java SE Development Kit 8u91 Update Release Notes:
http://www.oracle.com/technetwork/java/javase/8u91-relnotes-2949462.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
