Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (21.07.2016):
Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen nun
auch Sicherheitsupdates für Java SE 6 in der Version 6u121, Java SE 7 in
der Version 7u111 und Java SE 8 in der Version 8u101 zur Verfügung. Red
Hat listet in seinen Sicherheitsmeldungen jeweils die in der betreffenden
Java SE Version behobenen Schwachstellen.
Version 2 (20.07.2016):
Für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte stehen
Sicherheitsupdates für OpenJDK 8 zur Verfügung. Die Schwachstellen
CE-2016-3485, CVE-2016-3498, CVE-2016-3503, CVE-2016-3511 und
CVE-2016-3552 werden von Red Hat nicht referenziert.
Version 1 (20.07.2016):
Neues Advisory
Betroffene Software:
Oracle Java SE <= 6u115 Oracle Java SE <= 7u101 Oracle Java SE <= 8u92 Oracle Java SE Embedded <= 8u91 Oracle JRockit <= r28.3.10 OpenJDK 1.8.0 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Oracle Solaris Red Hat Enterprise Linux Desktop 5 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux HPC Node 7.2 EUS Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme und die Ausführung beliebigen Programmcodes, unerlaubten Lesezugriff auf Daten, das Umgehen von Sicherheitsvorkehrungen und das Auslösen partieller Denial-of-Service (DoS)-Zustände. Zehn dieser Schwachstellen betreffen hauptsächlich Client-Installationen, die auf die Java Sandbox als Sicherheit zurückgreifen. CVE-2016-3485, CVE-2016-3500 und CVE-2016-3508 betreffen Client- und Server-Installationen von Java. Für die erfolgreiche Ausnutzung einiger Schwachstellen ist eine nicht näher spezifizierte Benutzerinteraktion, also einer anderen Person als der des Angreifers, erforderlich. Oracle empfiehlt Benutzern von Java SE in Browsern, die aktuelle Programmversion manuell zu installieren. Benutzern von Microsoft Windows und Mac OS X werden die entsprechenden Sicherheitsupdates über die automatischen Systemupdates zur Verfügung gestellt. Patch: Oracle Critical Patch Update Advisory - July 2016 (CPUJul2016): Oracle Java SE http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixJAVA
Patch:
Red Hat Security Advisory RHSA-2016:1458
http://rhn.redhat.com/errata/RHSA-2016-1458.html
Patch:
Red Hat Security Advisory RHSA-2016:1475
http://rhn.redhat.com/errata/RHSA-2016-1475.html
Patch:
Red Hat Security Advisory RHSA-2016:1476
http://rhn.redhat.com/errata/RHSA-2016-1476.html
Patch:
Red Hat Security Advisory RHSA-2016:1477
http://rhn.redhat.com/errata/RHSA-2016-1477.html
CVE-2016-3610: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund
unzureichender Überprüfung eines Wertezählers in der Funktion
MethodHandles.filterReturnValue(). Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden. Für eine erfolgreiche Ausnutzung
der Schwachstelle ist eine Benutzerinteraktion erforderlich.
CVE-2016-3606: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert aufgrund
einer unzureichenden Verifikation von Bytecode. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
unautorisiert die komplette Systemübernahme und damit die Ausführung
beliebigen Programmcodes. Diese Schwachstelle betrifft hauptsächlich
Client-Installationen von Java und kann beispielsweise über Sandboxed Java
Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Für eine
erfolgreiche Ausnutzung der Schwachstelle ist eine Benutzerinteraktion
notwendig.
CVE-2016-3598: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund einer
fehlerhaften Behandlung von Argumenten der Funktion
MethodHandles.dropArguments(). Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
Sandboxed Java Applets ausgenutzt werden. Für eine erfolgreiche Ausnutzung
der Schwachstelle ist eine Benutzerinteraktion notwendig.
CVE-2016-3587: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Systemübernahme
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund
unzureichender Schutzmechanismen in der Funktion MethodHandle.invokeBasic().
Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden. Für eine erfolgreiche Ausnutzung der Schwachstelle ist eine
Benutzerinteraktion notwendig.
CVE-2016-3552: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Install von
Oracle Java SE 8u92 ermöglicht einem lokalen, nicht authentifizierten
Angreifer unautorisiert die komplette Systemübernahme und damit die
Ausführung beliebigen Programmcodes. Diese Schwachstelle kann während des
Installationsprozesses von Java auf Client-Systemen ausgenutzt werden.
CVE-2016-3550: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
Oracle Java SE 6u115, 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert
aufgrund eines Ganzzahlüberlaufs (Integer Overflow) in Bytecode-Streams.
Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle unautorisiert Informationen auszuspähen, wobei für
die erfolgreiche Ausnutzung eine Benutzerinteraktion erforderlich ist. Diese
Schwachstelle betrifft hauptsächlich Client-Installationen von Java und kann
beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
Applets ausgenutzt werden.
CVE-2016-3511: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Deployment von
Oracle Java SE 7u101 und 8u92 ermöglicht einem lokalen, nicht
authentifizierten Angreifer unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden. Für eine erfolgreiche Ausnutzung der Schwachstelle ist eine
Benutzerinteraktion erforderlich.
CVE-2016-3508: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit R28.3.10
existiert aufgrund einer fehlenden Begrenzung für die Ersetzung von
Entitäten. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle einen partiellen Denial-of-Service
(DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft Client- und
Server-Installationen von Java und kann beispielsweise über Sandboxed Java
Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) von JAXP angreifbar.
CVE-2016-3503: Schwachstelle in Java SE ermöglicht komplette Systemübernahme
Eine schwer auszunutzende Schwachstelle in der Subkomponente Install von
Oracle Java SE 6u115, 7u101 und 8u92 ermöglicht einem lokalen, nicht
authentifizierten Angreifer unautorisiert die komplette Systemübernahme und
damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle kann
während des Installationsprozesses von Java auf Client-Systemen ausgenutzt
werden, wobei eine Benutzerinteraktion erforderlich ist.
CVE-2016-3500: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit R28.3.10
existiert, weil die Maximalbegrenzung für XML-Namen nicht auf den Namensraum
angewandt wird. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer über verschiedene Protokolle einen partiellen Denial-of-Service
(DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft Client- und
Server-Installationen von Java und kann beispielsweise über Sandboxed Java
Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) von JAXP angreifbar.
CVE-2016-3498: Schwachstelle in Java SE ermöglicht Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente JavaFX von
Oracle Java SE 7u101 und 8u92 ermöglicht einem entfernten, nicht
authentifizierten Angreifer über verschiedene Protokolle einen partiellen
Denial-of-Service (DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft
hauptsächlich Client-Installationen von Java und kann beispielsweise über
Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
werden.
CVE-2016-3485: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Umgehen von Sicherheitsvorkehrungen
Eine schwer auszunutzende Schwachstelle in der Subkomponente Networking von
Oracle Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit
R28.3.10 existiert aufgrund eines schwachen Authentisierungsgeheimnisses in
der Pipe-Implementierung auf Windows-Systemen. Dies ermöglicht einem
lokalen, nicht authentifizierten Angreifer das Umgehen von
Sicherheitsvorkehrungen. Diese Schwachstelle betrifft Client- und
Server-Installationen von Java und kann beispielsweise über Sandboxed Java
Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
hinaus sind Java-basierte Web Services über die Programmschnittstellen
(APIs) angreifbar.
CVE-2016-3458: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Umgehen von Sicherheitsvorkehrungen
Eine leicht auszunutzende Schwachstelle in der Subkomponente CORBA von
Oracle Java SE 6u115, 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert
aufgrund unzureichender Beschränkungen für die Verwendung des ValueHandlers.
Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
verschiedene Protokolle das Umgehen von Sicherheitsvorkehrungen. Diese
Schwachstelle betrifft hauptsächlich Client-Installationen von Java und kann
beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
Applets ausgenutzt werden. Die erfolgreiche Ausnutzung der Schwachstelle
erfordert eine Benutzerinteraktion.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1167/
Oracle Critical Patch Update Advisory – July 2016 (CPUJul2016): Oracle Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixJAVA
Red Hat Security Advisory RHSA-2016:1458:
http://rhn.redhat.com/errata/RHSA-2016-1458.html
Schwachstelle CVE-2016-3458 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3458
Schwachstelle CVE-2016-3485 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3485
Schwachstelle CVE-2016-3498 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3498
Schwachstelle CVE-2016-3500 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3500
Schwachstelle CVE-2016-3503 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3503
Schwachstelle CVE-2016-3508 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3508
Schwachstelle CVE-2016-3511 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3511
Schwachstelle CVE-2016-3550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3550
Schwachstelle CVE-2016-3552 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3552
Schwachstelle CVE-2016-3587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3587
Schwachstelle CVE-2016-3598 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3598
Schwachstelle CVE-2016-3606 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3606
Schwachstelle CVE-2016-3610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3610
Red Hat Security Advisory RHSA-2016:1475:
http://rhn.redhat.com/errata/RHSA-2016-1475.html
Red Hat Security Advisory RHSA-2016:1476:
http://rhn.redhat.com/errata/RHSA-2016-1476.html
Red Hat Security Advisory RHSA-2016:1477:
http://rhn.redhat.com/errata/RHSA-2016-1477.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
