2014-0050: OpenJDK: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten

Historie:

Version 1 (2014-01-15 17:21)

Neues Advisory

Version 2 (2014-01-28 14:56)

Red Hat stellt aktualisierte java-1.6.0-openjdk Pakete für Red Hat Enterprise Linux 5 und 6 zur Verfügung, um zahlreiche Schwachstellen mit hoher Sicherheitsrelevanz zu beheben. Diese Pakete beinhalten das OpenJDK 6 Java Runtime Environment und das OpenJDK 6 Java Software Development Kit.

Version 3 (2014-02-03 13:47)

Novell stellt aktualisierte java-1.7.0-openjdk Pakete für openSUSE 13.1 zur Verfügung und patcht dafür auch CVE-2014-0408

Version 4 (2014-02-04 16:59)

Für openSUSE 12.3 wird ein aktualisiertes Paket java-1_7_0-openjdk zur Verfügung gestellt.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Die durch das Update geschlossenen Schwachstellen erlauben zahlreiche Angriffe mit verschiedenen Auswirkungen. Fehlerhafte Eingabeprüfungen erlauben es unter Umständen, die Beschränkungen der Java-Sandbox zu umgehen. In verschiedenen Komponenten wurden unzureichende Überprüfungen der Privilegien und Restriktionen korrigiert, wodurch es auch möglich ist, die Beschränkungen der Java-Sandbox ganz oder teilweise zu umgehen. Bei der Verarbeitung von externen XML-Objekten kann es dazu kommen, dass die Anwendung abstürzt oder sensitive Informationen zugänglich gemacht werden. Kritische Informationen über verwendete kryptographische Schlüssel können auch bei dem TLS/SSL-Handshake durch Angreifer herausgefunden werden, die dieses Wissen für weitere Angriffe nutzen können.

Schwachstellen:

CVE-2013-5878

Schwachstelle in JavaSE Security

CVE-2013-5884

Schwachstelle in JavaSE CORBA

CVE-2013-5893

Schwachstelle in JavaSE Libraries

CVE-2013-5896

Schwachstelle in JavaSE CORBA

CVE-2013-5907

Schwachstellen in JavaSE 2D

CVE-2013-5910

Schwachstelle in JavaSE Security

CVE-2014-0368

Schwachstelle in JavaSE Networking

CVE-2014-0373

Schwachstelle in JavaSE Serviceability

CVE-2014-0376

Schwachstelle in JavaSE JAXP

CVE-2014-0408

Schwachstelle in JavaSE Hotspot

CVE-2014-0411

Schwachstelle in JavaSE JSSE

CVE-2014-0416

Schwachstelle in JavaSE JAAS

CVE-2014-0422

Schwachstelle in JavaSE JNDI

CVE-2014-0423

Schwachstelle in JavaSE Beans

CVE-2014-0428

Schwachstelle in JavaSE CORBA

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.