Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (29.03.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit und Server
in den Versionen 12 SP1 und 12 SP2 stehen Sicherheitsupdates für
‘java-1_8_0-ibm’ bereit.
Version 1 (17.03.2017):
Neues Advisory
Betroffene Software:
IBM Java 1.7.0
IBM Java 1.7.1
IBM Java 1.8.0
Betroffene Plattformen:
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Manager 2.1
SUSE Manager Proxy 2.1
SUSE OpenStack Cloud 5
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
Eine Schwachstelle in IBM Java ermöglicht einem entfernten, nicht
authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und in der
Folge das Ausspähen von Informationen.
Für SUSE OpenStack Cloud 5, SUSE Manager Proxy 2.1, SUSE Manager 2.1 und
SUSE Linux Enterprise Server 11 SP3 LTSS stehen Sicherheitsupdates für
‘java-1_7_0-ibm’ und für die SUSE Linux Enterprise Produkte Software
Development Kit 11 SP4, 12 SP1 und 12 SP2 sowie für Server 11 SP4, 12 SP1,
12 SP2, 12 LTSS und Server for SAP 12 stehen Sicherheitsupdates für
‘java-1_7_1-ibm’ bereit.
Patch:
SUSE Security Update SUSE-SU-2017:0716-1
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002703.html
Patch:
SUSE Security Update SUSE-SU-2017:0719-1
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002706.html
Patch:
SUSE Security Update SUSE-SU-2017:0720-1
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002707.html
Patch:
SUSE Security Update SUSE-SU-2017:0839-1
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002742.html
CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen
HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL
und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter
anderem den ‘Triple-DES’-Kryptoalgorithmus nutzen, der gegen den sogenannten
Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die
Schwachstelle ist aufgrund der Art und Weise wie Browser
Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil
diese zwischen einem Webdienst und dem Browser wiederholt hin und her
geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend
Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise
ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder
diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus
diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender
Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den
Inhalt des Session Cookies zu enthüllen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0482/
Schwachstelle CVE-2016-2183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183
SUSE Security Update SUSE-SU-2017:0716-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002703.html
SUSE Security Update SUSE-SU-2017:0719-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002706.html
SUSE Security Update SUSE-SU-2017:0720-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002707.html
SUSE Security Update SUSE-SU-2017:0839-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002742.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
