Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 12 (02.06.2016):
Für die SUSE Linux Enterprise Produkte Software Development Kit und Server
in Version 12-SP1 steht ein Sicherheitsupdate in Form aktualisierter
‘java-1_8_0-ibm’-Pakete bereit, welches alle Schwachstellen bis auf
CVE-2016-0636 adressiert.
Version 11 (01.06.2016):
Für SUSE Linux Enterprise Module for Legacy Software 12 steht ein
Sicherheitsupdate auf IBM Java 1.6.0 SR16 FP26 bereit, welches alle
Schwachstellen bis auf CVE-2016-0636 adressiert.
Version 10 (24.05.2016):
Für SUSE Linux Enterprise Server 10 SP4 LTSS steht ein Sicherheitsupdate
auf IBM Java 1.6.0 SR16 FP25 bereit, welches alle Schwachstellen bis auf
CVE-2016-0636 adressiert.
Version 9 (23.05.2016):
Für die SUSE Produkte OpenStack Cloud 5, Manager Proxy 2.1, Manager 2.1,
Linux Enterprise Server 11 SP3 LTSS sowie Linux Enterprise Server 11 SP2
LTSS stehen Sicherheitsupdates auf die IBM Java 1.6.0 SR16 FP25 Version
wie auch auf das IBM Java 1.7.0 SR9 FP40 Release bereit, welche die
aufgelisteten Schwachstellen mit Ausnahme der CVE-2016-0636 adressieren.
Version 8 (17.05.2016):
Für SUSE Linux Enterprise Module for Legacy Software 12 steht ein
Sicherheitsupdate auf IBM Java 1.6.0 SR16 FP25 bereit, das die
referenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 behebt.
Version 7 (13.05.2016):
Für die openSUSE Linux Enterprise Produkte Software Development Kit und
Server in den Versionen 11-SP4, 12 und 12-SP1 stehen Sicherheitsupdates
auf IBM Java 1.7.1 SR3 FP4 bereit, die die referenzierten Schwachstellen
mit Ausnahme von CVE-2016-0636 beheben.
Version 6 (11.05.2016):
Für Red Hat Enterprise Linux Supplementary Produkte der Version 6
(Desktop, HPC Node, Server und Workstation) stehen Sicherheitsupdates für
IBM Java SE 8 auf die Version 8 SR3 in Form aktualisierter
java-1.8.0-ibm-Pakete zur Verfügung. IBM Java SE 8 beinhaltet das IBM Java
Runtime Environment (JRE) und das IBM Java Software Development Kit (SDK).
Über die Sicherheitsupdates werden die referenzierten Schwachstellen mit
Ausnahme von CVE-2016-0636 adressiert.
Version 5 (04.05.2016):
Für Red Hat Enterprise Linux Supplementary Produkte der Version 7 stehen
Sicherheitsupdates für IBM Java SE 8 auf die Version 8 SR3 in Form
aktualisierter ‘java-1.8.0-ibm’-Pakete zur Verfügung. IBM Java SE 8
beinhaltet das IBM Java Runtime Environment (JRE) und das IBM Java
Software Development Kit (SDK). Über die Sicherheitsupdates werden die
referenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 adressiert.
Version 4 (02.05.2016):
Für Red Hat Enterprise Linux Supplementary Produkte in den Versionen 5 und
6 stehen Sicherheitsupdates für IBM Java SE 6 auf die Version 6 SR16-FP25
zur Verfügung. Über die Sicherheitsupdates werden die referenzierten
Schwachstellen mit Ausnahme von CVE-2016-0636 adressiert.
Version 3 (02.05.2016):
Für Red Hat Enterprise Linux Supplementary Produkte stehen
Sicherheitsupdates für IBM Java SE 7 auf Version 7R1 SR3-FP40 zur
Verfügung, die die referenzierten Schwachstellen mit Ausnahme von
CVE-2016-0636 beheben. Betroffen sind die Produkte Desktop, HPC Node,
Server und Workstation in den Versionen 6 und 7 sowie Server EUS in
Version 6.7.z.
Version 2 (29.04.2016):
Für Red Hat Enterprise Linux 5 Supplementary Client und Server stehen
Sicherheitsupdates für IBM Java SE 7 auf Version 7 SR9-FP40 zur Verfügung,
die die refererenzierten Schwachstellen mit Ausnahme von CVE-2016-0636
beheben.
Version 1 (28.04.2016):
Neues Advisory
Betroffene Software:
IBM Java 1.6.0
IBM Java 1.7.0
IBM Java 1.7.1
IBM Java 1.8.0
Betroffene Plattformen:
SUSE Linux Enterprise Module for Legacy Software 12
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12
SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Manager Proxy 2.1
SUSE Manager 2.1
SUSE OpenStack Cloud 5
GNU/Linux
IBM AIX
Microsoft Windows
SUSE Linux Enterprise Server 10 SP4 LTSS
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Server 12 SP1
Red Hat Enterprise Linux Desktop Supplementary 5 Client
Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Enterprise Linux Desktop Supplementary 7
Red Hat Enterprise Linux HPC Node Supplementary 6
Red Hat Enterprise Linux HPC Node Supplementary 7
Red Hat Enterprise Linux Server Supplementary 5
Red Hat Enterprise Linux Server Supplementary 6
Red Hat Enterprise Linux Server Supplementary 6.7.z EUS
Red Hat Enterprise Linux Server Supplementary 7
Red Hat Enterprise Linux Workstation Supplementary 6
Red Hat Enterprise Linux Workstation Supplementary 7
Mehrere kritische Schwachstellen in Java SE ermöglichen einem entfernten,
nicht authentifizierten Angreifer die komplette Systemübernahme und die
Ausführung beliebigen Programmcodes, unerlaubten Lesezugriff auf Daten und
das Auslösen partieller Denial-of-Service (DoS)-Zustände. Einige dieser
Schwachstellen betreffen hauptsächlich Client-Installationen, die auf die
Java Sandbox als Sicherheit zurückgreifen. CVE-2016-3427 betrifft Client-
und Server-Installationen von Java.
IBM adressiert die für IBM SDK relevanten Java SE Schwachstellen, welche von
Oracle als Teil des Oracle Critical Patch Updates – April 2016 behoben
wurden, zusätzlich die Schwachstelle CVE-2016-0636, welche von Oracle
bereits in einer Sicherheitswarnung im März 2016 veröffentlicht wurde und
ausschließlich IBM SDK, Java Technology Edition auf Solaris, HP-UX und Mac
OS X betrifft, sowie drei weitere Schwachstellen (CVE-2016-0363,
CVE-2016-0376 und CVE-2016-0264), welche IBM SDK, Java Technology Edition
betreffen.
Patch:
Oracle Critical Patch Update Advisory – April 2016 (CPUApr2016)
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml
Patch:
IBM Security Bulletin swg21980826
http://www-01.ibm.com/support/docview.wss?uid=swg21980826
Patch:
Red Hat Security Advisory RHSA-2016:0701-1
http://rhn.redhat.com/errata/RHSA-2016-0701.html
Patch:
Red Hat Security Advisory RHSA-2016:0702-1
http://rhn.redhat.com/errata/RHSA-2016-0702.html
Patch:
Red Hat Security Advisory RHSA-2016:0708
http://rhn.redhat.com/errata/RHSA-2016-0708.html
Patch:
Red Hat Security Advisory RHSA-2016:0716
http://rhn.redhat.com/errata/RHSA-2016-0716.html
Patch:
Red Hat Security Advisory RHSA-2016:1039-1
http://rhn.redhat.com/errata/RHSA-2016-1039.html
Patch:
SUSE Security Advisory SUSE-SU-2016:1299-1
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00039.html
Patch:
SUSE Security Update SUSE-SU-2016:1300-1
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00040.html
Patch:
SUSE Security Update SUSE-SU-2016:1303-1
https://www.suse.com/support/update/announcement/2016/suse-su-20161303-1.html
Patch:
SUSE Security Update SUSE-SU-2016:1378-1
https://www.suse.com/support/update/announcement/2016/suse-su-20161378-1.html
Patch:
SUSE Security Update SUSE-SU-2016:1379-1
https://www.suse.com/support/update/announcement/2016/suse-su-20161379-1.html
Patch:
SUSE Security Update SUSE-SU-2016:1388-1
https://www.suse.com/support/update/announcement/2016/suse-su-20161388-1.html
Patch:
SUSE Security Update SUSE-SU-2016:1458-1
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00067.html
Patch:
SUSE Security Update SUSE-SU-2016:1475-1
http://lists.opensuse.org/opensuse-security-announce/2016-06/msg00002.html
CVE-2016-0376: Schwachstelle in Java SE ermöglicht Ausführungen beliebigen
Programmcodes mit Systemrechten
In IBM JDK 6 SR16-FP25, 7 SR9-FP40, 7R1 SR3-FP40 und 8 SR3 existiert eine
Schwachstelle aufgrund einer unsicheren Deserialisierung in CORBA. Hierdurch
ist es möglich, beliebigen Programmcode unter einem Sicherheitsmanager
(Security Manager) laufen zu lassen, um dadurch höhere Rechte zu erlangen,
indem der Sicherheitsmanager verändert oder entfernt wird. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Programmcode mit erhöhten Rechten auszuführen und dadurch das
System komplett zu kompromittieren. Diese Schwachstelle wurde ursprünglich
als CVE-2013-5456 veröffentlicht, jedoch seinerzeit nicht korrekt behoben.
CVE-2016-0363: Schwachstelle in Java SE ermöglicht Ausführungen beliebigen
Programmcodes mit Systemrechten
In IBM JDK 6 SR16-FP25, 7 SR9-FP40, 7R1 SR3-FP40 und 8 SR3 existiert eine
Schwachstelle in der IBM ORB Implementierung aufgrund einer unsicheren
Verwendung der ‘invoke’ Methode in der CORBA Komponente. Hierdurch ist es
möglich, nicht vertrauenswürdigen Code unter einem Sicherheitsmanager laufen
zu lassen, um dadurch höhere Rechte zu erlangen. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um eine
Sicherheitsvorkehrung zu umgehen und dadurch das System komplett zu
kompromittieren. Diese Schwachstelle wurde ursprünglich als CVE-2013-3009
veröffentlicht, jedoch seinerzeit nicht korrekt behoben.
CVE-2016-0264: Schwachstelle in Java SE ermöglicht das Ausführen beliebigen
Programmcodes mit Systemrechten
In IBM JDK 6 SR16-FP25, 7 SR9-FP40, 7R1 SR3-FP40 und 8 SR3 existiert eine
schwer auszunutzende Schwachstelle aufgrund derer es zu einem
Pufferspeicherüberlauf (buffer overflow) kommen kann. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer unter bestimmten Umständen
beliebigen Programmcode auf dem System ausführen.
CVE-2016-3449: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3443: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3427: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente JMX von Oracle
Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 und JRockit R28.3.9
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
Client- und Server-Installationen von Java und kann über Sandboxed Java Web
Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) von JMX angreifbar.
CVE-2016-3426: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in der Subkomponente JCE von Oracle
Java SE 8u77 und Java SE Embedded 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert, eine
Untermenge der über Java SE und Java SE Embedded erreichbaren Daten zu
lesen. Diese Schwachstelle betrifft hauptsächlich Client-Installationen von
Java und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden.
CVE-2016-3422: Schwachstelle in Java SE ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente 2D von Oracle
Java SE 6u113, 7u99 und 8u77 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle einen
Denial-of-Service-Zustand von Java SE herbeizuführen. Diese Schwachstelle
betrifft hauptsächlich Client-Installationen von Java und kann
beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
CVE-2016-0687: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77 ermöglicht
einem entfernten, nicht authentifizierten Angreifer über verschiedene
Protokolle unautorisiert die komplette Systemübernahme und damit die
Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2016-0686: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Serialization
von Oracle Java SE 6u113, 7u99 und 8u77 sowie Java SE Embedded 8u77
ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2016-0636: Schwachstelle in Java SE ermöglicht das Ausführen beliebigen
Programmcodes mit Systemrechten
In der Subkomponente Hotspot von Oracle Java SE 7u97, 8u73 und 8u74
existiert eine schwer auszunutzende Schwachstelle. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
unautorisiert das darunterliegende Betriebssystem zu übernehmen. Der
Angreifer kann dadurch auch beliebigen Programmcode auf dem System
ausführen. Diese Schwachstelle betrifft Client-Installationen und kann über
‘Sandboxed Java Web Start’-Anwendungen und ‘Sandboxed Java Applets’
ausgenutzt werden, welche auch nicht vertrauenswürdigen Programmcode laden
und ausführen und dabei ausschließlich auf die Sicherheit der Java Sandbox
vertrauen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0683/
Schwachstelle CVE-2016-0636 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0636
Oracle Critical Patch Update Advisory – April 2016 (CPUApr2016):
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml
Schwachstelle CVE-2016-0686 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0686
Schwachstelle CVE-2016-0687 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0687
Schwachstelle CVE-2016-3422 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3422
Schwachstelle CVE-2016-3426 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3426
Schwachstelle CVE-2016-3427 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3427
Schwachstelle CVE-2016-3443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3443
Schwachstelle CVE-2016-3449 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3449
IBM Security Bulletin swg21980826:
http://www-01.ibm.com/support/docview.wss?uid=swg21980826
Schwachstelle CVE-2016-0264 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0264
Schwachstelle CVE-2016-0363 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0363
Schwachstelle CVE-2016-0376 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0376
Red Hat Security Advisory RHSA-2016:0701-1:
http://rhn.redhat.com/errata/RHSA-2016-0701.html
Red Hat Security Advisory RHSA-2016:0702-1:
http://rhn.redhat.com/errata/RHSA-2016-0702.html
Red Hat Security Advisory RHSA-2016:0708:
http://rhn.redhat.com/errata/RHSA-2016-0708.html
Red Hat Security Advisory RHSA-2016:0716:
http://rhn.redhat.com/errata/RHSA-2016-0716.html
Red Hat Security Advisory RHSA-2016:1039-1:
http://rhn.redhat.com/errata/RHSA-2016-1039.html
SUSE Security Advisory SUSE-SU-2016:1299-1:
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00039.html
SUSE Security Update SUSE-SU-2016:1300-1:
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00040.html
SUSE Security Update SUSE-SU-2016:1303-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161303-1.html
SUSE Security Update SUSE-SU-2016:1378-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161378-1.html
SUSE Security Update SUSE-SU-2016:1379-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161379-1.html
SUSE Security Update SUSE-SU-2016:1388-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20161388-1.html
SUSE Security Update SUSE-SU-2016:1458-1:
https://lists.opensuse.org/opensuse-security-announce/2016-05/msg00067.html
SUSE Security Update SUSE-SU-2016:1475-1:
http://lists.opensuse.org/opensuse-security-announce/2016-06/msg00002.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
