2016-0640: Oracle Java SE, Java SE Embedded, JRockit, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme

Historie:

Version 1 (2016-04-20 14:22): Neues Advisory
Version 2 (2016-04-20 18:54): Für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte stehen Sicherheitsupdates für OpenJDK 8 zur Verfügung. Die Schwachstellen CVE-2016-3422, CVE-2016-3443 und CVE-2016-3449 werden von Red Hat nicht referenziert.
Version 3 (2016-04-22 12:03): Für Fedora 22, 23 und 24 stehen Sicherheitsupdates für java-1.8.0-openjdk auf das Update u91 bereit. Die Sicherheitsupdates für Fedora 22 und 24 befinden sich im Status 'testing', das für Fedora 23 noch im Status 'pending'. Red Hat veröffentlicht für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte Sicherheitsupdates in Form aktualisierter OpenJDK 7, Oracle Java SE 8, Oracle Java SE 7 und Oracle Java SE 6 Pakete.
Version 4 (2016-04-27 13:16): Debian stellt für die Distribution Debian Jessie (stable) Sicherheitsupdates für OpenJDK 7 zur Verfügung, die die Schwachstellen CVE-2016-0636, CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425, CVE-2016-3426 und CVE-2016-3427 beheben.
Version 5 (2016-05-04 19:58): Für openSUSE 13.2 stehen Sicherheitsupdates für openJDK 1.7 und 1.8 bereit, um die Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425, CVE-2016-3426 (nur für openJDK 1.8 relevant) und CVE-2016-3427 zu beheben.
Version 6 (2016-05-06 13:28): Canonical stellt für Ubuntu 14.04 LTS und Ubuntu 15.10 Sicherheitsupdates für OpenJDK 7 und für Ubuntu 16.04 LTS Sicherheitsupdates für OpenJDK 8 bereit. Mittels des Sicherheitsupdates für OpenJDK 7 werden die Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425 und CVE-2016-3427 adressiert, das Advisory für OpenJDK 8 führt zusätzlich noch die Schwachstelle CVE-2016-3426 auf.
Version 7 (2016-05-06 17:09): Für die Distribution openSUSE 13.1 sowie für die Produkte SUSE Linux Enterprise Server 12, Server 12 SP1, Desktop 12 und Desktop 12 SP1 stehen Sicherheitsupdates für OpenJDK 7 auf Version 2.6.6 zur Behebung der Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425 und CVE-2016-3427 bereit. Für SUSE Linux Enterprise Server 12 SP1 und Desktop 12 SP1 stehen außerdem Sicherheitsupdates für OpenJDK 8 bereit, welche zusätzlich die Schwachstelle CVE-2016-3426 adressieren.
Version 8 (2016-05-09 17:32): Für die Distribution openSUSE Leap 42.1 stehen Sicherheitsupdates für OpenJDK 7 und OpenJDK 8 bereit, welche jeweils die Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425 und CVE-2016-3427 adressieren. Für OpenJDK 8 wird zusätzlich die Schwachstelle CVE-2016-3426 behoben.
Version 9 (2016-05-09 20:09): Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates für das Paket 'java-1.6.0-openjdk' zur Verfügung, die die Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425 und CVE-2016-3427 beheben. Betroffen sind die Red Hat Enterprise Linux Produkte Desktop 5, 6 und 7, HPC Node 6, 7 und EUS 7.2, Workstation 6 und 7 sowie Server 5, 6, 7, EUS 6.7.z, EUS 7.2 sowie AUS 7.2.
Version 10 (2016-05-11 14:01): Canonical stellt für Ubuntu 12.04 LTS Sicherheitsupdates für OpenJDK 6 bereit und behebt damit die Schwachstellen CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425 und CVE-2016-3427.
Version 11 (2023-05-15 11:36): Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2016-3427 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.

Betroffene Software

Entwicklung
Systemsoftware
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme und die Ausführung beliebigen Programmcodes, unerlaubten Lesezugriff auf Daten und das Auslösen partieller Denial-of-Service (DoS)-Zustände. Sechs dieser Schwachstellen betreffen hauptsächlich Client-Installationen, die auf die Java Sandbox als Sicherheit zurückgreifen. CVE-2016-3427 und CVE-2016-3425 betreffen Client- und Server-Installationen von Java. CVE-2016-0695 betrifft Client- und Server-Installationen der Java Secure Socket Extension (JSSE).

Oracle empfiehlt Benutzern von Java SE in Browsern, die aktuelle Programmversion manuell zu installieren. Benutzern von Microsoft Windows und Mac OS X werden die entsprechenden Sicherheitsupdates über die automatischen Systemupdates zur Verfügung gestellt.

Schwachstellen:

CVE-2016-0636

Schwachstelle in Java SE ermöglicht das Ausführen beliebigen Programmcodes mit Systemrechten

CVE-2016-0686

Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Systemübernahme

CVE-2016-0687

Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Systemübernahme

CVE-2016-0695

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2016-3422

Schwachstelle in Java SE ermöglicht Denial-of-Service-Angriff

CVE-2016-3425

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2016-3426

Schwachstelle in Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2016-3427

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette Systemübernahme

CVE-2016-3443

Schwachstelle in Java SE ermöglicht komplette Systemübernahme

CVE-2016-3449