2014-0944: Oracle Java, OpenJDK: Mehrere Schwachstellen ermöglichen die Ausführung beliebiger Befehle

Historie:

Version 1 (2014-07-22 15:51): Neues Advisory
Version 2 (2014-07-23 13:08): Für die Distribution Debian Wheezy steht ein Sicherheitsupdate bereit, welches zusätzlich die Schwachstelle CVE-2014-4268 adressiert, aber die Schwachstellen CVE-2014-4227 und CVE-2014-4265 nicht umfasst.
Version 3 (2014-08-13 11:55): Für Ubuntu 10.04 LTS und Ubuntu 12.04 LTS wurden Sicherheitsupdates für OpenJDK 6 bereitgestellt, welche die Schwachstellen CVE-2014-4227 und CVE-2014-4265 nicht umfassen.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen können von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden, um beliebige Befehle auszuführen, Daten zu manipulieren oder Daten zu lesen. In einem Fall ist auch die Durchführung eines Denial-of-Service-Angriffs möglich.
Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte sind Sicherheitsupdates für Oracle Java 1.6.0 und OpenJDK 1.6.0 erschienen. Die Schwachstellen CVE-2014-2490 und CVE-2014-4266 sind nur für OpenJDK und die Schwachstellen CVE-2014-4227 und CVE-2014-4265 nur für Oracle Java behoben.
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate bereit, welches zusätzlich die Schwachstelle CVE-2014-4268 adressiert, aber die Schwachstellen CVE-2014-4227 und CVE-2014-4265 nicht umfasst.