UPDATE: DFN-CERT-2017-0806 IBM Java SDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Linux][RedHat][Unix][AIX][Solaris][Windows][Netzwerk]

UPDATE: DFN-CERT-2017-0806 IBM Java SDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Linux][RedHat][Unix][AIX][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (10.08.2017):
Mehrere Schwachstellen in IBM SDK Java Technology Edition Version 6
SR16FP41 und Version 8 SR4FP1 betreffen alle IBM Notes Releases der
Versionszweige 9.0,x, 9.0, 8.5.x und 8.5 bis Version 9.0.1 FP8 IF1 und
Version 8.5.3 FP6 IF14 für Linux und Windows. Als Sicherheitsupdates
werden von IBM die IBM SDK Java Technology Edition Versionen 6 SR16FP45
und 8 SR4FP5 bereitgestellt.
Version 4 (30.06.2017):
Für IBM AIX 5.3, 6.1, 7.1 und 7.2 sowie VIOS 2.2.x stehen die folgenden
Versionen des IBM Java SDK als Sicherheitsupdates zur Behebung der
Schwachstellen bereit: Version 6 Service Refresh 16 Fix Pack 45, Version 7
Service Refresh 10 Fix Pack 5, Version 7R1 Service Refresh 4 Fix Pack 5
und Version 8 Service Refresh 4 Fix Pack 6. Die Schwachstelle
CVE-2017-3526 wird hier nicht erwähnt.
Version 3 (12.05.2017):
Mehrere Schwachstellen existieren in der IBM SDK Java Technology Edition,
welche mit IBM WebSphere Application Server ausgeliefert wird. Die
Schwachstellen wurden als Teil der IBM Java SDK Updates im April 2017
veröffentlicht. IBM informiert darüber, dass die Schwachstellen IBM
WebSphere Application Server Traditional, IBM WebSphere Application Server
Liberty und IBM WebSphere Application Server Hypervisor Edition betreffen
und stellt für verschiedene Versionszweige und Versionen eine Reihe von
Interim Fixes als Sicherheitsupdates zur Behebung der Schwachstellen
bereit, durch welche IBM SDK Java Technology Edition, auf die Versionen 6
Service Refresh 16 Fix Pack 45, Version 6R1 Service Refresh 8 Fix Pack 45,
Version 7 Service Refresh 10 Fix Pack 5, Version 7R1 Service Refresh 4 Fix
Pack 5 bzw. 8 Service Refresh 4 Fix Pack 5 aktualisiert wird. Fix Pack
Versionen des IBM WebSphere Application Servers zur Behebung der
Schwachstellen sind für alle unterstützten Versionszweige angekündigt:
7.0.0.45 für 2Q 2018, 8.0.0.14 am 16.10.2017, 8.5.5.12 am 04.08.2017 und
WebSphere Application Server Liberty 17.0.0.2 am 13.06.2017. Benutzer des
Version 9 WebSphere Application Server Traditional können über den IBM
Installation Manager auf die Online-Produktrepositories zugreifen, um das
SDK zu installieren.
Version 2 (10.05.2017):
Für die Supplementary-Repositories der Red Hat Enterprise Linux 6 und 7
Produkte Desktop, HPC Node, Server und Workstation stehen
Sicherheitsupdates für ‘java-1.7.1-ibm’ auf Version ‘7R1 SR4-FP5’ und für
‘java-1.8.0-ibm’ auf Version ‘8 SR4-FP5’ bereit, um die entsprechenden
Schwachstellen zu beheben. Für die Red Hat Enterprise Linux 6 Produkte
wird zusätzlich ‘java-1.6.0-ibm’ auf Version ‘6 SR16-FP45’ aktualisiert.
Version 1 (09.05.2017):
Neues Advisory

Betroffene Software:

IBM Java SDK < 6.0.16.45 Technology IBM Java SDK < 6.1.8.45 Technology IBM Java SDK < 7.0.10.5 Technology IBM Java SDK < 7.1.4.5 Technology IBM Java SDK < 8.0.4.5 Technology IBM Notes Client 8.5 IBM Notes Client 8.5.1x IBM Notes Client 8.5.2x IBM Notes Client <= 8.5.3 Fix Pack 6 Interim Fix 14 IBM Notes Client 9.0.1 IBM Notes Client <= 9.0.1 Feature Pack 8 Interim Fix 1 IBM WebSphere Application Server >= 7.0.0.0
IBM WebSphere Application Server <= 7.0.0.43 IBM WebSphere Application Server >= 8.0.0.0
IBM WebSphere Application Server <= 8.0.0.13 IBM WebSphere Application Server >= 8.5.0.0
IBM WebSphere Application Server <= 8.5.5.11 IBM WebSphere Application Server >= 9.0.0.0
IBM WebSphere Application Server <= 9.0.0.3 IBM WebSphere Application Server <= 17.0.0.1 Liberty Betroffene Plattformen: GNU/Linux HP-UX IBM AIX 5.3 IBM AIX 6.1 IBM AIX 7.1 IBM AIX 7.2 IBM VIOS 2.2.x Microsoft Windows Oracle Solaris Red Hat Enterprise Linux Desktop Supplementary 6 Red Hat Enterprise Linux Desktop Supplementary 7 Red Hat Enterprise Linux HPC Node Supplementary 6 Red Hat Enterprise Linux HPC Node Supplementary 7 Red Hat Enterprise Linux Server Supplementary 6 Red Hat Enterprise Linux Server Supplementary 7 Red Hat Enterprise Linux Workstation Supplementary 6 Red Hat Enterprise Linux Workstation Supplementary 7 Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE ermöglichen einem entfernten, nicht authentisierten Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das Ausspähen von Informationen und einen Denial-of-Service (DoS)-Angriff. Eine weitere Schwachstelle ermöglicht auch einem lokalen, nicht authentisierten Angreifer die komplette Kompromittierung eines Systems. Mehrere Schwachstellen in zlib ermöglichen einem entfernten, nicht authentisierten Angreifer verschiedene Denial-of-Service (DoS)-Angriffe und eine weitere Schwachstelle (CVE-2017-1289) in IBM SDK, Java Technology Edition ermöglicht zusätzlich das Ausspähen von Informationen. IBM informiert darüber, dass das IBM® SDK, Java™ Technology Edition bis inklusive der Versionen 6 Service Refresh 16 Fix Pack 41, Version 6R1 Service Refresh 8 Fix Pack 41, Version 7 Service Refresh 10 Fix Pack 1, Version 7R1 Service Refresh 4 Fix Pack 1 und Version 8 Service Refresh 4 Fix Pack 2 von den mit dem Oracle April 2017 Critical Patch Update veröffentlichten Schwachstellen in Java SE sowie von 5 weiteren Schwachstellen betroffen ist. IBM stellt die Versionen 6 Service Refresh 16 Fix Pack 45, Version 6R1 Service Refresh 8 Fix Pack 45, Version 7 Service Refresh 10 Fix Pack 5, Version 7R1 Service Refresh 4 Fix Pack 5 und Version 8 Service Refresh 4 Fix Pack 5 als Sicherheitsupdates zur Behebung dieser Schwachstellen bereit. Patch: IBM Security Bulletin 2002169 https://www.ibm.com/support/docview.wss?uid=swg22002169

Patch:

Red Hat Security Advisory RHSA-2017:1220-1

http://rhn.redhat.com/errata/RHSA-2017-1220.html

Patch:

Red Hat Security Advisory RHSA-2017:1221-1

http://rhn.redhat.com/errata/RHSA-2017-1221.html

Patch:

Red Hat Security Advisory RHSA-2017:1222-1

http://rhn.redhat.com/errata/RHSA-2017-1222.html

Patch:

IBM Security Bulletin 2003016

http://www-01.ibm.com/support/docview.wss?uid=swg22003016

Patch:

IBM AIX Security Advisory java_apr2017_advisory.asc

http://aix.software.ibm.com/aix/efixes/security/java_apr2017_advisory.asc

Patch:

Security Bulletin: Multiple Vulnerabilities in the IBM SDK Java Technology
Edition affect IBM Notes

http://www-01.ibm.com/support/docview.wss?uid=swg22005255

CVE-2017-3544: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Daten

In der Subkomponente ‘Networking’ von Java SE, Java SE Embedded und JRockit
besteht eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die betroffene Software
über SMTP für seine Zwecke nutzen kann. Ein erfolgreicher Angriff erfordert
keine Interaktion eines Benutzers der Software und ermöglicht dem Angreifer
die Manipulation einiger der von der betroffenen Software erreichbaren
Daten. Die Schwachstelle betrifft Client- und Server-Installationen von Java
SE, Java SE Embedded und JRockit.

Im Kontext von Google Android Operating System existiert die Schwachstelle
in der Subkomponente ‘Runtime’ und ermöglicht es einem entfernten, nicht
authentisierten Angreifer über eine speziell präparierte Datei beliebigen
Programmcode im Kontext eines nicht privilegierten Prozesses zur Ausführung
zu bringen. Die Schwere der Schwachstelle wird mit ‘moderate’ angegeben.

CVE-2017-3533: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Daten

In der Subkomponente ‘Networking’ von Java SE, Java SE Embedded und JRockit
besteht eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die betroffene Software
über FTP für seine Zwecke nutzen kann. Ein erfolgreicher Angriff erfordert
keine Interaktion eines Benutzers der Software und ermöglicht dem Angreifer
die Manipulation einiger der von der betroffenen Software erreichbaren
Daten. Die Schwachstelle betrifft Client- und Server-Installationen von Java
SE, Java SE Embedded und JRockit.

CVE-2017-3514: Schwachstelle in Java SE emöglicht komplette Systemübernahme

In der Subkomponente ‘Abstract Window Toolkit (AWT)’ von Java SE besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Protokolle für seine Zwecke nutzen kann. Ein erfolgreicher
Angriff erfordert die Interaktion eines Benutzers der Software und
ermöglicht dem Angreifer die komplette Kompromittierung der Software und in
der Folge des gesamten Systems. Die Schwachstelle betrifft typischerweise
Client-Installationen von Java SE.

CVE-2017-3512: Schwachstelle in Java SE ermöglicht komplette Systemübernahme

In der Subkomponente ‘Abstract Window Toolkit (AWT)’ von Java SE besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Protokolle für seine Zwecke nutzen kann. Ein erfolgreicher
Angriff erfordert die Interaktion eines Benutzers der Software und
ermöglicht dem Angreifer die komplette Kompromittierung der Software und in
der Folge des gesamten Systems. Die Schwachstelle betrifft typischerweise
Client-Installationen von Java SE.

CVE-2017-1289: Schwachstelle in IBM SDK, Java Technology Edition ermöglicht
Ausspähen von Informationen und Denial-of-Service-Angriff

IBM SDK, Java Technology Edition ist verwundbar gegenüber XML External
Entity Injection (XXE)-Fehlern bei der Verarbeitung von XML-Daten. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um hoch-sensitive Informationen auszuspähen oder
Speicherressourcen zu verbrauchen und dadurch einen Denial-of-Service
(DoS)-Zustand zu bewirken.

CVE-2017-3539: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Manipulation von Daten

In der Subkomponente ‘Security’ von Java SE und Java SE Embedded besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Verbindungsprotokolle für seine Zwecke nutzen kann. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der Software
und ermöglicht dem Angreifer die Manipulation einiger der von der Software
erreichbaren Daten. Die Schwachstelle betrifft Client-Installationen von
Java SE und Java SE Embedded.

CVE-2017-3526: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff

In der Subkomponente ‘Java API for XML Processing (JAXP)’ von Java SE, Java
SE Embedded und JRockit besteht eine schwer auszunutzende Schwachstelle, die
ein entfernter, nicht authentisierter Angreifer mit Netzwerkzugriff auf die
betroffene Software über verschiedene Protokolle für seine Zwecke nutzen
kann. Ein erfolgreicher Angriff erfordert keine Interaktion eines Benutzers
der Software und ermöglicht dem Angreifer wiederholbar die Erzeugung eines
Denial-of-Service-Zustands. Die Schwachstelle betrifft Client- und
Server-Installationen von Java SE, Java SE Embedded und JRockit, die in der
Folge eines Angriffs ihre Funktion nicht mehr erfüllen oder nicht mehr
erreichbar sind.

CVE-2017-3511: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht komplette Systemübernahme

In der Subkomponente ‘Java Cryptography Extension (JCE)’ von Java SE, Java
SE Embedded und JRockit besteht eine schwer auszunutzende Schwachstelle, die
ein lokaler, nicht authentisierter Angreifer für seine Zwecke nutzen kann.
Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers der
Software und ermöglicht dem Angreifer die komplette Kompromittierung der
Software und in der Folge des gesamten Systems. Die Schwachstelle betrifft
Client- und Server-Installationen von Java SE, Java SE Embedded und JRockit.

CVE-2017-3509: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen und Manipulation von Daten

In der Subkomponente ‘Networking’ von Java SE und Java SE Embedded besteht
eine schwer auszunutzende Schwachstelle, die ein entfernter, nicht
authentisierter Angreifer mit Netzwerkzugriff auf die Software über
verschiedene Verbindungsprotokolle für seine Zwecke nutzen kann. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der Software
und ermöglicht dem Angreifer Lese- und Schreibzugriff auf eine Untermenge
der von der Software erreichbaren Daten. Die Schwachstelle betrifft
Client-Installationen von Java SE und Java SE Embedded.

CVE-2016-9843: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

Durch eine vom C-Standard abweichende Zeigerarithmetik auf Power-PC
Plattformen besteht eine Schwachstelle in zlib, die es ermöglicht, auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Access) und dadurch eine Speicherschutzverletzung auszulösen. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2016-9842: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

Durch das Verschieben von negativen Ganzzahlen in der Funktion ‘inflateMark’
besteht eine Schwachstelle in zlib. Dabei können nicht vorhersehbare
Ergebnisse entstehen, welche im folgenden Programmablauf einen Absturz
verursachen können. Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.

CVE-2016-9841: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

Durch die Verwendung einer nicht mehr zeitgemäßen Zeigerarithmetik in
‘inffast.c’ besteht eine Schwachstelle in zlib, die es ermöglicht, auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Access) und dadurch eine Speicherschutzverletzung auszulösen. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2016-9840: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

Durch eine fehlerhaft umgesetzte Zeigerarithmetik in ‘inftrees.c’ besteht
eine Schwachstelle in zlib, die es ermöglicht, auf Speicherbereiche
außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds Access) und dadurch
eine Speicherschutzverletzung auszulösen. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0806/

Schwachstelle CVE-2016-9840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9840

Schwachstelle CVE-2016-9841 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9841

Schwachstelle CVE-2016-9842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9842

Schwachstelle CVE-2016-9843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9843

Schwachstelle CVE-2017-3509 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3509

Schwachstelle CVE-2017-3511 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3511

Schwachstelle CVE-2017-3512 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3512

Schwachstelle CVE-2017-3514 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3514

Schwachstelle CVE-2017-3526 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3526

Schwachstelle CVE-2017-3533 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3533

Schwachstelle CVE-2017-3539 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3539

Schwachstelle CVE-2017-3544 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3544

IBM Security Bulletin 2002169:
https://www.ibm.com/support/docview.wss?uid=swg22002169

IBM PSIRT Blog: Multiple vulnerabilities may affect IBM SDK, Java Technology
Edition:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilities-may-affect-ibm-sdk-java-technology-edition-4/

Schwachstelle CVE-2017-1289 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1289

Red Hat Security Advisory RHSA-2017:1220-1:
http://rhn.redhat.com/errata/RHSA-2017-1220.html

Red Hat Security Advisory RHSA-2017:1221-1:
http://rhn.redhat.com/errata/RHSA-2017-1221.html

Red Hat Security Advisory RHSA-2017:1222-1:
http://rhn.redhat.com/errata/RHSA-2017-1222.html

IBM Security Bulletin 2003016:
http://www-01.ibm.com/support/docview.wss?uid=swg22003016

IBM PSIRT Blog: WebSphere Application Server update of IBM® SDK Java™
Technology Edition:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-websphere-application-server-update-ibm-sdk-java-technology-edition/

IBM AIX Security Advisory java_apr2017_advisory.asc:
http://aix.software.ibm.com/aix/efixes/security/java_apr2017_advisory.asc

IBM PSIRT Blog: Multiple vulnerabilities in IBM Java SDK affect AIX:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-security-bulletin-multiple-vulnerabilities-ibm-java-sdk-affect-aix-cve-2017-3514-cve-2017-3512-cve-2017-3511-cve-2017-3509-cve-2017-3544-cve-2017-3533-cve-2017-3539/

Security Bulletin: Multiple Vulnerabilities in the IBM SDK Java Technology
Edition affect IBM Notes:
http://www-01.ibm.com/support/docview.wss?uid=swg22005255

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben