2014-1356: OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Daten

Historie:

Version 1 (2014-10-15 18:02)

Neues Advisory

Version 2 (2014-10-17 13:54)

Canonical stellt für Ubuntu 10.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates für OpenJDK 6 zur Verfügung.

Version 3 (2014-10-23 12:03)

Canonical stellt für Ubuntu 14.04 LTS ein Sicherheitsupdate für OpenJDK 7 zur Verfügung, welches zusätzlich die Schwachstelle CVE-2014-6527 aufführt.

Version 4 (2014-10-24 13:33)

Canonical stellt für Ubuntu 14.10 ein Sicherheitsupdate für OpenJDK 7 zur Verfügung. Dieses benennt die Schwachstelle CVE-2014-6527 nicht, führt aber zusätzlich die Schwachstelle CVE-2014-6513 auf.

Version 5 (2014-11-14 16:56)

Novell stellt für SUSE Linux Enterprise Server 12, Desktop 12 ein Sicherheitsupdate für OpenJDK 7 zur Verfügung. Dieses benennt die Schwachstellen CVE-2014-6468, CVE-2014-6527 und CVE-2014-6562 nicht.

Version 6 (2014-11-27 16:02)

Für die Distribution Debian Wheezy steht ein Sicherheitsupdate für OpenJDK 6 zur Verfügung. Die nicht für OpenJDK 6 relevanten Schwachstellen CVE-2014-6468 , CVE-2014-6513, CVE-2014-6527 und CVE-2014-6562 werden vom Debian Advisory dementsprechend nicht benannt.

Version 7 (2014-12-01 11:34)

Für die Distributionen Debian Wheezy und Debian Jessie stehen Sicherheitsupdates für OpenJDK 7 bereit. Die nicht für OpenJDK 7 relevanten Schwachstellen CVE-2014-6468 und CVE-2014-6562 werden ebenso wie die Schwachstellen CVE-2014-6513 und CVE-2014-6527 nicht im Debian Advisory aufgeführt.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in den OpenJDK Versionen 1.6.0, 1.7.0 und 1.8.0 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen und Manipulieren von Daten, sowie das Bewirken eines Denial-of-Service-Zustandes. In OpenJDK 1.8.0 existieren zusätzlich zwei Schwachstellen, die zur Erlangung von Administratorrechten genutzt werden können (CVE-2014-6468 und CVE-2014-6562). Red Hat stellt für eine Reihe von Produkten Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2014-6457

Schwachstelle in JSSE ermöglicht das Manipulieren von Dateien

CVE-2014-6468

Schwachstelle in Hotspot-Komponente ermöglicht das Erlangen von Administrationsrechten

CVE-2014-6502

Schwachstelle in Bibliotheks-Komponente ermöglicht Manipulation von Dateien

CVE-2014-6504

Schwachstelle in der Hotspot-Komponente erlaubt Zugriff auf Informationen

CVE-2014-6506

Schwachstelle in Bibliotheks-Komponente ermöglicht die Manipulation von Dateien

CVE-2014-6511

Schwachstelle in 2D-Komponente ermöglicht Ausspähen von Informationen

CVE-2014-6512

Schwachstelle in der Bibliotheks-Komponente ermöglicht Manipulation von Dateien

CVE-2014-6513

Schwachstelle in AWT-Komponente ermöglicht das Erlangen von Administrationsrechten

CVE-2014-6517

Schwachstelle in JAXP-Komponente ermöglicht Ausspähen von Informationen

CVE-2014-6519

Schwachstelle in Hotspot-Komponente ermöglicht die Manipulation von Dateien

CVE-2014-6527

Schwachstelle in der Auslieferungskomponente ermöglicht Maniupulation von Dateien

CVE-2014-6531

Schwachstelle in der Bibliotheks-Komponente ermöglicht das Ausspähen von Informationen

CVE-2014-6558

Schwachstelle in der Sicherheits-Komponente ermöglicht das Manipulieren von Dateien

CVE-2014-6562

Schwachstelle in der Bibliotheks-Komponente ermöglicht das Erlangen von Administrationsrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.