Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 9 (09.08.2016):
Für SUSE Linux Enterprise Server 12-SP1 und Desktop 12-SP1 stehen
Sicherheitsupdates für OpenJDK 1.7.0 auf die Version 7u111 und für OpenJDK
1.8.0 auf die Version 8u101 zur Verfügung.
Version 8 (08.08.2016):
IBM informiert darüber, dass die mit dem ‘Oracle July 2016 Critical Patch
Update’ für Java SE adressierten Schwachstellen CVE-2016-3485,
CVE-2016-3511, CVE-2016-3550, CVE-2016-3587, CVE-2016-3598, CVE-2016-3606
und CVE-2016-3610 auch IBM® SDK, Java™ Technology Edition betreffen und
stellt entsprechende Sicherheitsupdates zur Verfügung. CVE-2016-3550,
CVE-2016-3587, CVE-2016-3606 und CVE-2016-3610 sind nur für Solaris, HP-UX
und Mac OS X relevant.
Version 7 (08.08.2016):
Für openSUSE 13.2 steht ein Sicherheitsupdate für OpenJDK 1.8.0 auf die
Version 8u101 zur Verfügung.
Version 6 (28.07.2016):
Für Oracle Linux 5, 6 und 7 stehen Sicherheitsupdates für OpenJDK 1.7.0
auf Version 7u111 zur Verfügung, welche die Schwachstellen CVE-2016-3458,
CVE-2016-3500, CVE-2016-3508, CVE-2016-3550, CVE-2016-3598, CVE-2016-3606
und CVE-2016-3610 adressieren.
Version 5 (27.07.2016):
Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen
Sicherheitsupdates für OpenJDK 1.7.0 auf Version 7u111 zur Verfügung.
Diese beinhalteten das OpenJDK 7 Java Runtime Environment und das OpenJDK
7 Java Software Development Kit. Red Hat listet die in der betreffenden
Java Version behobenen Schwachstellen. Für Fedora 23 steht mit dem Paket
‘java-1.8.0-openjdk-1.8.0.101-1.b14.fc23’ ein Sicherheitsupdate für
OpenJDK 1.8.0 auf Version u101-b14 bereit, welches sich derzeit noch im
Status ‘pending’ befindet.
Version 4 (27.07.2016):
Für Fedora 24 steht mit dem Paket
‘java-1.8.0-openjdk-1.8.0.101-1.b14.fc24’ ein Sicherheitsupdate für
OpenJDK 1.8.0 auf Version u101-b14 bereit, welches sich derzeit noch im
Status ‘pending’ befindet. Canonical stellt für die Distribution Ubuntu
16.04 LTS ebenfalls ein Sicherheitsupdate für OpenJDK 8 zur Verfügung.
Version 3 (21.07.2016):
Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen nun
auch Sicherheitsupdates für Java SE 6 in der Version 6u121, Java SE 7 in
der Version 7u111 und Java SE 8 in der Version 8u101 zur Verfügung. Red
Hat listet in seinen Sicherheitsmeldungen jeweils die in der betreffenden
Java SE Version behobenen Schwachstellen.
Version 2 (20.07.2016):
Für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte stehen
Sicherheitsupdates für OpenJDK 8 zur Verfügung. Die Schwachstellen
CE-2016-3485, CVE-2016-3498, CVE-2016-3503, CVE-2016-3511 und
CVE-2016-3552 werden von Red Hat nicht referenziert.
Version 1 (20.07.2016):
Neues Advisory
Betroffene Software:
IBM Java 1.6.0
IBM Java 1.6.1
IBM Java 1.7.0
IBM Java 1.7.1
IBM Java 1.8.0
Oracle Java SE <= 6u115
Oracle Java SE <= 7u101
Oracle Java SE <= 8u92
Oracle Java SE Embedded <= 8u91
Oracle JRockit <= r28.3.10
OpenJDK 1.7.0
OpenJDK 1.8.0
Betroffene Plattformen:
Apple Mac OS X
Canonical Ubuntu Linux 16.04 LTS
GNU/Linux
HP-UX family of operating systems
IBM AIX
Microsoft Windows
openSUSE 13.2
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Server 12 SP1
Oracle Linux 5
Oracle Linux 6
Oracle Linux 7
Oracle Solaris
Red Hat Enterprise Linux Desktop 5
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux HPC Node 7.2 EUS
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.2 AUS
Red Hat Enterprise Linux Server 7.2 EUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 23
Red Hat Fedora 24
Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE,
Java SE Embedded und JRockit ermöglichen einem entfernten, nicht
authentifizierten Angreifer die komplette Systemübernahme und die Ausführung
beliebigen Programmcodes, unerlaubten Lesezugriff auf Daten, das Umgehen von
Sicherheitsvorkehrungen und das Auslösen partieller Denial-of-Service
(DoS)-Zustände. Zehn dieser Schwachstellen betreffen hauptsächlich
Client-Installationen, die auf die Java Sandbox als Sicherheit
zurückgreifen. CVE-2016-3485, CVE-2016-3500 und CVE-2016-3508 betreffen
Client- und Server-Installationen von Java. Für die erfolgreiche Ausnutzung
einiger Schwachstellen ist eine nicht näher spezifizierte
Benutzerinteraktion, also einer anderen Person als der des Angreifers,
erforderlich.
Oracle empfiehlt Benutzern von Java SE in Browsern, die aktuelle
Programmversion manuell zu installieren. Benutzern von Microsoft Windows und
Mac OS X werden die entsprechenden Sicherheitsupdates über die automatischen
Systemupdates zur Verfügung gestellt.
Patch:
Oracle Critical Patch Update Advisory - July 2016 (CPUJul2016): Oracle Java
SE
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixJAVA
Patch:
Red Hat Security Advisory RHSA-2016:1458
http://rhn.redhat.com/errata/RHSA-2016-1458.html
Patch:
Red Hat Security Advisory RHSA-2016:1475
http://rhn.redhat.com/errata/RHSA-2016-1475.html
Patch:
Red Hat Security Advisory RHSA-2016:1476
http://rhn.redhat.com/errata/RHSA-2016-1476.html
Patch:
Red Hat Security Advisory RHSA-2016:1477
http://rhn.redhat.com/errata/RHSA-2016-1477.html
Patch:
Fedora Security Update FEDORA-2016-588e386aaa (Fedora 24,
java-1.8.0-openjdk-1.8.0.101-1.b14)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-588e386aaa
Patch:
Fedora Security Update FEDORA-2016-c60d35c46c (Fedora 23,
java-1.8.0-openjdk-1.8.0.101-1.b14)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c60d35c46c
Patch:
Red Hat Security Advisory RHSA-2016:1504
http://rhn.redhat.com/errata/RHSA-2016-1504.html
Patch:
Ubuntu Security Notice USN-3043-1 (Ubuntu 16.04 LTS, OpenJDK 8)
http://www.ubuntu.com/usn/usn-3043-1/
Patch:
Oracle Linux Security Advisory ELSA-2016-1504
http://linux.oracle.com/errata/ELSA-2016-1504.html
Patch:
IBM Security Bulletin swg21986642
https://www-01.ibm.com/support/docview.wss?uid=swg21986642
Patch:
openSUSE Security Update openSUSE-SU-2016:1979-1
http://lists.opensuse.org/opensuse-updates/2016-08/msg00028.html
Patch:
SUSE Security Update SUSE-SU-2016:1997-1
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002184.html
Patch:
SUSE Security Update SUSE-SU-2016:2012-1
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002198.html
CVE-2016-3610: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund
unzureichender Überprüfung eines Wertezählers in der Funktion
MethodHandles.filterReturnValue(). Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden. Für eine erfolgreiche Ausnutzung
der Schwachstelle ist eine Benutzerinteraktion erforderlich.
CVE-2016-3606: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert aufgrund
einer unzureichenden Verifikation von Bytecode. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
unautorisiert die komplette Systemübernahme und damit die Ausführung
beliebigen Programmcodes. Diese Schwachstelle betrifft hauptsächlich
Client-Installationen von Java und kann beispielsweise über Sandboxed Java
Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Für eine
erfolgreiche Ausnutzung der Schwachstelle ist eine Benutzerinteraktion
notwendig.
CVE-2016-3598: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund einer
fehlerhaften Behandlung von Argumenten der Funktion
MethodHandles.dropArguments(). Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden. Für eine erfolgreiche Ausnutzung
der Schwachstelle ist eine Benutzerinteraktion notwendig.
CVE-2016-3587: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund
unzureichender Schutzmechanismen in der Funktion MethodHandle.invokeBasic().
Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden. Für eine erfolgreiche Ausnutzung der Schwachstelle ist eine
Benutzerinteraktion notwendig.
CVE-2016-3552: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Install von
Oracle Java SE 8u92 ermöglicht einem lokalen, nicht authentifizierten
Angreifer unautorisiert die komplette Systemübernahme und damit die
Ausführung beliebigen Programmcodes. Diese Schwachstelle kann während des
Installationsprozesses von Java auf Client-Systemen ausgenutzt werden.
CVE-2016-3550: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java SE 6u115, 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert
aufgrund eines Ganzzahlüberlaufs (Integer Overflow) in Bytecode-Streams.
Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert Informationen auszuspähen, wobei für
die erfolgreiche Ausnutzung eine Benutzerinteraktion erforderlich ist. Diese
Schwachstelle betrifft hauptsächlich Client-Installationen von Java und kann
beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
CVE-2016-3511: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 7u101 und 8u92 ermöglicht einem lokalen, nicht
authentifizierten Angreifer unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden. Für eine erfolgreiche Ausnutzung der Schwachstelle ist eine
Benutzerinteraktion erforderlich.
CVE-2016-3508: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit R28.3.10
existiert aufgrund einer fehlenden Begrenzung für die Ersetzung von
Entitäten. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle einen partiellen Denial-of-Service
(DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft Client- und
Server-Installationen von Java und kann beispielsweise über Sandboxed Java
Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) von JAXP angreifbar.
CVE-2016-3503: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Install von
Oracle Java SE 6u115, 7u101 und 8u92 ermöglicht einem lokalen, nicht
authentifizierten Angreifer unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle kann
während des Installationsprozesses von Java auf Client-Systemen ausgenutzt
werden, wobei eine Benutzerinteraktion erforderlich ist.
CVE-2016-3500: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit R28.3.10
existiert, weil die Maximalbegrenzung für XML-Namen nicht auf den Namensraum
angewandt wird. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle einen partiellen Denial-of-Service
(DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft Client- und
Server-Installationen von Java und kann beispielsweise über Sandboxed Java
Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) von JAXP angreifbar.
CVE-2016-3498: Schwachstelle in Java SE ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JavaFX von
Oracle Java SE 7u101 und 8u92 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle einen partiellen
Denial-of-Service (DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2016-3485: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Umgehen von Sicherheitsvorkehrungen
Eine schwer auszunutzende Schwachstelle in der Subkomponente Networking von
Oracle Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit
R28.3.10 existiert aufgrund eines schwachen Authentisierungsgeheimnisses in
der Pipe-Implementierung auf Windows-Systemen. Dies ermöglicht einem
lokalen, nicht authentifizierten Angreifer das Umgehen von
Sicherheitsvorkehrungen. Diese Schwachstelle betrifft Client- und
Server-Installationen von Java und kann beispielsweise über Sandboxed Java
Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) angreifbar.
CVE-2016-3458: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Umgehen von Sicherheitsvorkehrungen
Eine leicht auszunutzende Schwachstelle in der Subkomponente CORBA von
Oracle Java SE 6u115, 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert
aufgrund unzureichender Beschränkungen für die Verwendung des ValueHandlers.
Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle das Umgehen von Sicherheitsvorkehrungen. Diese
Schwachstelle betrifft hauptsächlich Client-Installationen von Java und kann
beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
Applets ausgenutzt werden. Die erfolgreiche Ausnutzung der Schwachstelle
erfordert eine Benutzerinteraktion.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1167/
Oracle Critical Patch Update Advisory – July 2016 (CPUJul2016): Oracle Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixJAVA
Red Hat Security Advisory RHSA-2016:1458:
http://rhn.redhat.com/errata/RHSA-2016-1458.html
Schwachstelle CVE-2016-3458 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3458
Schwachstelle CVE-2016-3485 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3485
Schwachstelle CVE-2016-3498 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3498
Schwachstelle CVE-2016-3500 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3500
Schwachstelle CVE-2016-3503 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3503
Schwachstelle CVE-2016-3508 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3508
Schwachstelle CVE-2016-3511 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3511
Schwachstelle CVE-2016-3550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3550
Schwachstelle CVE-2016-3552 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3552
Schwachstelle CVE-2016-3587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3587
Schwachstelle CVE-2016-3598 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3598
Schwachstelle CVE-2016-3606 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3606
Schwachstelle CVE-2016-3610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3610
Red Hat Security Advisory RHSA-2016:1475:
http://rhn.redhat.com/errata/RHSA-2016-1475.html
Red Hat Security Advisory RHSA-2016:1476:
http://rhn.redhat.com/errata/RHSA-2016-1476.html
Red Hat Security Advisory RHSA-2016:1477:
http://rhn.redhat.com/errata/RHSA-2016-1477.html
Fedora Security Update FEDORA-2016-588e386aaa (Fedora 24,
java-1.8.0-openjdk-1.8.0.101-1.b14):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-588e386aaa
Fedora Security Update FEDORA-2016-c60d35c46c (Fedora 23,
java-1.8.0-openjdk-1.8.0.101-1.b14):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c60d35c46c
Red Hat Security Advisory RHSA-2016:1504:
http://rhn.redhat.com/errata/RHSA-2016-1504.html
Ubuntu Security Notice USN-3043-1 (Ubuntu 16.04 LTS, OpenJDK 8):
http://www.ubuntu.com/usn/usn-3043-1/
Oracle Linux Security Advisory ELSA-2016-1504:
http://linux.oracle.com/errata/ELSA-2016-1504.html
IBM Security Bulletin swg21986642:
https://www-01.ibm.com/support/docview.wss?uid=swg21986642
openSUSE Security Update openSUSE-SU-2016:1979-1:
http://lists.opensuse.org/opensuse-updates/2016-08/msg00028.html
IBM Security Bulletin: Multiple vulnerabilities may affect IBM® SDK, Java™
Technology Edition:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilities-may-affect-ibm-sdk-java-technology-edition/
SUSE Security Update SUSE-SU-2016:1997-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002184.html
SUSE Security Update SUSE-SU-2016:2012-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002198.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
