DFN-CERT

Advisory-Archiv

2016-0498: Oracle Java SE, OpenJDK: Eine Schwachstelle ermöglicht die Übernahme des Systems

Historie:

Version 1 (2016-03-24 13:55)
Neues Advisory
Version 2 (2016-03-29 12:29)
Für die Red Hat Enterprise Linux Produkte Desktop 5, 6 und 7, Server 5, 6, 6.7.z EUS, 7, 7.2 EUS und 7.2 AUS, HPC Node 6, 7 und 7.2 EUS sowie Workstation 6 und 7 stehen verschiedene Sicherheitsupdates für die Pakete 'java-1.7.0-openjdk', 'java-1.8.0-openjdk', 'java-1.7.0-oracle' und 'java-1.8.0-oracle' bereit. Canonical stellt für die Distributionen Ubuntu 14.04 LTS und Ubuntu 15.10 Sicherheitsupdates für OpenJDK 7 bereit. Für die Distributionen Fedora 22, Fedora 23 und Fedora 24 stehen Sicherheitsupdates auf die openjdk-1.8.0.77 Version im Status 'stable' zur Verfügung.
Version 3 (2016-04-06 15:59)
Für die SUSE Linux Enterprise Produkte Desktop 11 SP4, 12 und 12 SP1 sowie Server 12 und 12 SP1 stehen Sicherheitsupdates für 'java-1_7_0-openjdk' auf Version 2.6.5 bereit. Für SUSE Linux Enterprise Server und Desktop 12 SP1 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf Version jdk8u77-b03 bereit.
Version 4 (2016-04-07 18:25)
Für openSUSE 13.2 steht ein Sicherheitsupdate für 'java-1_7_0-openjdk' auf Version 2.6.5 bereit, um die Schwachstelle zu beheben.
Version 5 (2016-04-08 17:31)
Für openSUSE 13.2 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf Version jdk8u77-b03 bereit, um die Schwachstelle zu beheben.
Version 6 (2016-04-12 11:32)
Für openSUSE Leap 42.1 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version jdk8u77-b03 sowie für 'java-1_7_0-openjdk' auf Version 2.6.5 - OpenJDK 7u99 zur Verfügung, um die Schwachstelle zu beheben.
Version 7 (2016-04-15 12:27)
Für openSUSE 13.1 stehen Sicherheitsupdates für 'java-1_7_0-openjdk' auf Version 2.6.5 - OpenJDK 7u99 zur Verfügung, um die Schwachstelle zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in der Subkomponente 'Hotspot' von Oracle Java SE ermöglicht einem nicht authentifizierten, entfernten Angreifer die Übernahme des betroffenen Betriebssytems und somit auch die Ausführung beliebigen Programmcodes auf diesem System. Die genannte Schwachstelle betrifft ausschließlich Client-Installationen von Oracle Java SE, die im Webbrowser laufen, während Stand-Alone Versionen und Server-Installationen nicht betroffen sind.

Oracle stellt Sicherheitsupdates für Java SE auf die Version 8u77 zur Verfügung.

Schwachstellen:

CVE-2016-0636

Schwachstelle in Java SE ermöglicht das Ausführen beliebigen Programmcodes mit Systemrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.