2014-1346: Java SE, SE Embedded, JRockit: Mehrere Schwachstellen ermöglichen das Erlangen von Administrationsrechten
Historie:
- Version 1 (2014-10-15 22:00)
- Neues Advisory
- Version 2 (2014-10-17 17:48)
- Für Red Hat Enterprise Linux 5, 6 und 7 werden aktualisierte Pakete von java-1.6.0-sun sowie java-1.7.0-oracle bereitgestellt, welche die meisten der gelisteten Schwachstellen adressieren. Nicht adressiert werden hierdurch die Schwachstellen CVE-2014-6466, CVE-2014-6468, CVE-2014-6485, CVE-2014-6513 und CVE-2014-6562 sowie zusätzlich nicht CVE-2014-6456, CVE-2014-6476, CVE-2014-6519 und CVE-2014-6527 bezüglich java-1.6.0-sun.
- Version 3 (2014-12-03 20:04)
- Für SUSE Linux Enterprise Desktop 11 SP3 werden aktualisierte Pakete von java-1.7.0-openjdk bereitgestellt, um diese Schwachstellen zu beheben.
- Version 4 (2014-12-05 17:12)
- HP stellt für die Releases HP-UX B.11.23 und B.11.31 die neue JDK und JRE Version 7.0.11 zur Verfügung, wodurch die meisten der gelisteten Schwachstellen, bis auf CVE-2014-6468, CVE-2014-6485, CVE-2014-6532 und CVE-2014-6562, adressiert werden.
Betroffene Software
Entwicklung
Systemsoftware
Virtualisierung
Betroffene Plattformen
HP
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Oracle hat für Java SE 5.0u71, 6u81, 7u67, 8u20, Java SE Embedded 7u60, JavaFX 2.2.65 sowie JRockit R27.8.3 und R28.3.3 Sicherheitsupdates herausgebracht. Es werden eine Reihe von kritischen Sicherheitslücken geschlossen, von denen mehrere über das Internet ohne Authentifizierung ausgenutzt werden können und das Erlangen von Administrationsrechten erlauben. Andere Sicherheitslücken erlauben sowohl lokalen, wie auch entfernten, authentifizierten oder nicht authentifizierten Angreifern das Auslesen von Informationen oder das Manipulieren von Daten.
Schwachstellen:
CVE-2014-4288
Schwachstelle in der Auslieferungskomponente ermöglicht beliebigen Programmcode als Administrator auszuführenCVE-2014-6456
Schwachstelle in der Auslieferungskomponente ermöglicht beliebigen Programmcode als Administrator auszuführenCVE-2014-6457
Schwachstelle in JSSE ermöglicht das Manipulieren von DateienCVE-2014-6458
Schwachstelle in der Auslieferungskomponente ermöglicht das Erlangen von AdministratorrechtenCVE-2014-6466
Schwachstelle in der Auslieferungskomponente ermöglicht das Erlangen von AdministratorrechtenCVE-2014-6468
Schwachstelle in Hotspot-Komponente ermöglicht das Erlangen von AdministrationsrechtenCVE-2014-6476
Schwachstelle in der Auslieferungskomponente ermöglicht das Manipulieren von DateienCVE-2014-6485
Schwachstelle in JavaFX ermöglicht das Erlangen von AdministrationsrechtenCVE-2014-6492
Schwachstelle in Auslieferungskomponente ermöglicht das Erlangen von AdministrationsrechtenCVE-2014-6493
Schwachstelle in Auslieferungskomponente ermöglicht das Erlangen von AdministrationsrechtenCVE-2014-6502
Schwachstelle in Bibliotheks-Komponente ermöglicht Manipulation von DateienCVE-2014-6503
Schwachstelle in Auslieferungskomponente ermöglicht das Erlangen von AdministrationsrechtenCVE-2014-6504
Schwachstelle in der Hotspot-Komponente erlaubt Zugriff auf InformationenCVE-2014-6506
Schwachstelle in Bibliotheks-Komponente ermöglicht die Manipulation von DateienCVE-2014-6511
Schwachstelle in 2D-Komponente ermöglicht Ausspähen von InformationenCVE-2014-6512
Schwachstelle in der Bibliotheks-Komponente ermöglicht Manipulation von DateienCVE-2014-6513
Schwachstelle in AWT-Komponente ermöglicht das Erlangen von AdministrationsrechtenCVE-2014-6515
Schwachstelle in Auslieferungskomponente ermöglicht das Manipulieren von DateienCVE-2014-6517
Schwachstelle in JAXP-Komponente ermöglicht Ausspähen von InformationenCVE-2014-6519
Schwachstelle in Hotspot-Komponente ermöglicht die Manipulation von DateienCVE-2014-6527
Schwachstelle in der Auslieferungskomponente ermöglicht Maniupulation von DateienCVE-2014-6531
Schwachstelle in der Bibliotheks-Komponente ermöglicht das Ausspähen von InformationenCVE-2014-6532
Schwachstelle in der Auslieferungskomponente ermöglicht das Erlangen von AdministratorrechtenCVE-2014-6558
Schwachstelle in der Sicherheits-Komponente ermöglicht das Manipulieren von DateienCVE-2014-6562
Schwachstelle in der Bibliotheks-Komponente ermöglicht das Erlangen von Administrationsrechten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.