2016-0100: Oracle Java SE, Java SE Embedded, JRockit, OpenJDK, IBM Java SE: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten

Historie:

Version 1 (2016-01-20 13:34)

Neues Advisory

Version 2 (2016-01-21 11:18)

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop, HPC Node, Server und Workstation sowie für Red Hat Enterprise Linux Server EUS (v. 6.7.z) Sicherheitsupdates für OpenJDK 8 zur Adressierung der 2016er Schwachstellen und der CVE-2015-7575 bereit.

Version 3 (2016-01-21 16:01)

Red Hat stellt für die Red Hat Enterprise Linux 5, 6 und 7 Produkte Desktop, HPC Node, Server und Workstation sowie für Red Hat Enterprise Linux Server EUS (v. 6.7.z) Sicherheitsupdates für die Oracle Java SE Versionen 6, 7 und 8 (diese beinhalten jeweils Oracle Java Runtime Environment und Oracle Java Software Development Kit) zur Behebung der für die jeweiligen Versionen relevanten Schwachstellen zur Verfügung. Mit einem Sicherheitsupdate für OpenJDK 7 wird zusätzlich die Schwachstelle CVE-2015-4871 adressiert, die für andere Versionen bereits mit Oracle Critical Patch Update Advisory - Oktober 2015 (CPUOct2015) behoben wurde und deshalb an dieser Stelle nicht aufgenommen wird. Für die Distributionen Fedora 22 und Fedora 23 werden Sicherheitsupdates für OpenJDK 8 in Form der Pakete java-1.8.0-openjdk-1.8.0.71-1.b15.fc22 und java-1.8.0-openjdk-1.8.0.71-1.b15.fc23 bereitgestellt, die sich derzeit noch im Status 'pending' befinden.

Version 4 (2016-01-21 18:41)

Red Hat stellt jetzt auch für die Red Hat Enterprise Linux 5 Produkte Desktop und Server sowie die Red Hat Enterprise Linux 7 Produkte Desktop, HPC Node, Server und Workstation Sicherheitsupdates für OpenJDK 7 bereit, welche neben CVE-2015-7575 und den 2016er Schwachstellen zusätzlich die Schwachstelle CVE-2015-4871 adressieren, die für Oracle Java SE Versionen bereits mit Oracle Critical Patch Update Advisory - Oktober 2015 (CPUOct2015) behoben wurde und deshalb an dieser Stelle nicht aufgenommen wird.

Version 5 (2016-01-26 15:57)

Red Hat stellt für Red Hat Enterprise Linux 5, 6 und 7 Sicherheitsupdates für OpenJDK 6 zur Verfügung, welche die Schwachstellen CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483 und CVE-2016-0494 adressieren.

Version 6 (2016-01-27 16:54)

Für SUSE Linux Enterprise Server 12 SP1 und Desktop 12 SP1 stehen Sicherheitsupdates für OpenJDK 1.8.0 zur Verfügung.

Version 7 (2016-01-28 11:57)

Für SUSE Linux Enterprise Server 12-SP1 und 12 sowie Desktop 12-SP1, 12, 11-SP4 und 11-SP3 stehen Sicherheitsupdates für OpenJDK 1.7.0 zur Verfügung. Für die Distributionen openSUSE Leap 42.1 stehen Sicherheitsupdates für OpenJDK 1.8.0, für openSUSE 13.2 für OpenJDK 1.8.0 und OpenJDK 1.7.0 bereit und für openSUSE 13.1 wurde OpenJDK 1.7.0 ebenfalls auf Java 7u95 / IcedTea 2.6.4 aktualisiert.

Version 8 (2016-01-28 16:45)

Für die Distributionen Debian Linux Wheezy (oldstable) und Jessie (stable) stehen Sicherheitsupdates für OpenJDK 7 zur Verfügung, welche die Schwachstellen CVE-2015-7575, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483 und CVE-2016-0494 adressieren.

Version 9 (2016-01-29 13:51)

openSUSE stellt für die Distribution openSUSE Leap 42.1 Sicherheitsupdates für OpenJDK 7 zur Verfügung. Über das Update werden neun Sicherheitsanfälligkeiten adressiert, zu denen mit Ausnahme der CVE-2016-0475 alle hier genannten Schwachstellen gehören. Zusätzlich listet das openSUSE Sicherheitsupdate die Schwachstelle CVE-2015-4871 auf (nicht in diese Meldung übernommen), die von Oracle bereits im Oktober 2015 behoben wurde, schwer auszunutzen ist und einem entfernten, nicht authentifizierten Angreifer das Manipulieren und Ausspähen einiger über Java SE zugreifbarer Daten ermöglicht.

Version 10 (2016-02-02 11:17)

Canonical stellt für Ubuntu 12.04 LTS ein Sicherheitsupdate für OpenJDK 6 bereit, welches die Schwachstellen CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483 und CVE-2016-0494 adressiert. Die ebenfalls verfügbaren Sicherheitsupdates für Ubuntu 15.10, Ubuntu 15.04 und Ubuntu 14.04 LTS für OpenJDK 7 adressieren zusätzlich die Schwachstelle CVE-2015-7575.

Version 11 (2016-02-02 15:05)

Für verschiedene Red Hat Enterprise Linux (RHEL) 5, 6 und 7 Supplementary Produkte stehen Sicherheitsupdates für IBM Java 1.6.0, 1.7.0, 1.7.1 und 1.8.0 zur Verfügung, die die schwerwiegendsten Schwachstellen adressieren. IBM Java SE beinhaltet jeweils IBM Java Runtime Environment (JRE) und IBM Java Software Development Kit (JDK). Die Schwachstellen CVE-2015-5041, CVE-2015-7981 und CVE-2015-8540 wurden zusätzlich aufgenommen, CVE-2016-0475 betrifft nur IBM Java 1.8.0, während CVE-2015-7981 und CVE-2015-8540 nur für die anderen Versionen relevant sind.

Version 12 (2016-02-03 12:40)

Für Debian Linux Wheezy (oldstable) steht ein Sicherheitsupdate für OpenJDK 6 zur Verfügung, welches die Schwachstellen CVE-2015-7575, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0483 und CVE-2016-0494 adressiert.

Version 13 (2016-02-10 11:21)

SUSE stellt Sicherheitsupdates für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP1 und Server 12 SP1 auf die IBM Java Version 8.0-2.10 bereit. Die Schwachstellen CVE-2015-8540 und CVE-2015-7981 werden nicht aufgeführt.

Version 14 (2016-02-10 15:04)

SUSE stellt Sicherheitsupdates für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, 12 und 12 SP1, sowie Server 11 SP4, 12 und 12 SP1 auf die IBM Java Version 7.1-3.30 bereit. Die Schwachstelle CVE-2016-0475 wird nicht aufgeführt.

Version 15 (2016-02-11 17:58)

Für SUSE Linux Enterprise Server 11 SP2 LTSS und SUSE Linux Enterprise Module for Legacy Software 12 stehen Sicherheitsupdates auf die IBM Java Version 6.0-16.20 (Java 6) bereit. Für den SUSE Linux Enterprise Server 11 SP2 LTSS steht ebenfalls ein IBM Java Update auf Version 7.0-9.30 (Java 7) zur Verfügung. Die Schwachstelle CVE-2016-0475 betrifft Java 8 und wird durch die Sicherheitsupdates nicht behoben.

Version 16 (2016-03-03 12:24)

Für SUSE Linux Enterprise Server 11 SP3 LTSS stehen Sicherheitsupdates auf die IBM Java Version 7.0-9.30 (Java 7) zur Verfügung. Die Schwachstelle CVE-2016-0475 betrifft Java 8 und wird durch diese Sicherheitsupdates nicht behoben.

Version 17 (2016-03-15 19:18)

Für SUSE Linux Enterprise Server 11 SP3 LTSS stehen Sicherheitsupdates auf die IBM Java Version 6.0-16.20 (Java 6) zur Verfügung. Die Schwachstelle CVE-2016-0475 betrifft Java 8 und wird durch diese Sicherheitsupdates nicht behoben.

Version 18 (2016-03-16 10:34)

Für SUSE Linux Enterprise Server 10 SP4 LTSS stehen Sicherheitsupdates auf die IBM Java Version 6.0-16.20 (Java 6) zur Verfügung. Die Schwachstelle CVE-2016-0475 betrifft Java 8 und wird durch diese Sicherheitsupdates nicht behoben.

Betroffene Software

Entwicklung
Systemsoftware
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem nicht authentifizierten, entfernten Angreifer unerlaubt Lesezugriff auf Daten zu erlangen, unautorisiert Schreibzugriffe auf Dateien zu erlangen, partielle Denial-of-Service (DoS)-Zustände auszulösen oder das betroffene Betriebssytem zu übernehmen und somit auch beliebigen Programmcode auszuführen. Fünf der aufgeführten Schwachstellen betreffen ausschließlich Client Installationen, die Schwachstellen CVE-2016-0483, CVE-2016-0475, CVE-2016-0466 und CVE-2015-7575 betreffen Client und Server Installationen.

Schwachstellen:

CVE-2015-5041

Schwachstelle in IBM JDK erlaubt Umgehen von Sicherheitsvorkehrungen

CVE-2015-7575

Schwachstelle in Network Security Services ermöglicht das Umgehen von Sicherheitsvorkehrungen

CVE-2015-7981

Schwachstelle in libpng erlaubt Ausspähen von Informationen

CVE-2015-8126

Schwachstellen in libpng erlauben Denial-of-Service-Angriffe

CVE-2015-8472

Schwachstellen in libpng erlauben Denial-of-Service-Angriffe

CVE-2015-8540

Schwachstelle in libpng ermöglicht Denial-of-Service-Angriff

CVE-2016-0402

Schwachstelle in Java SE und Java SE Embedded ermöglicht Manipulation von Dateien

CVE-2016-0448

Schwachstelle in Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2016-0466

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2016-0475

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen und Manipulation von Dateien

CVE-2016-0483

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht das Erlangen von Administratorrechten

CVE-2016-0494

Schwachstelle in Java SE und Java SE Embedded ermöglicht das Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.