DFN-CERT

Advisory-Archiv

2016-0683: IBM Java SE: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme

Historie:

Version 1 (2016-04-28 18:05)
Neues Advisory
Version 2 (2016-04-29 18:27)
Für Red Hat Enterprise Linux 5 Supplementary Client und Server stehen Sicherheitsupdates für IBM Java SE 7 auf Version 7 SR9-FP40 zur Verfügung, die die refererenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 beheben.
Version 3 (2016-05-02 11:46)
Für Red Hat Enterprise Linux Supplementary Produkte stehen Sicherheitsupdates für IBM Java SE 7 auf Version 7R1 SR3-FP40 zur Verfügung, die die referenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 beheben. Betroffen sind die Produkte Desktop, HPC Node, Server und Workstation in den Versionen 6 und 7 sowie Server EUS in Version 6.7.z.
Version 4 (2016-05-02 19:36)
Für Red Hat Enterprise Linux Supplementary Produkte in den Versionen 5 und 6 stehen Sicherheitsupdates für IBM Java SE 6 auf die Version 6 SR16-FP25 zur Verfügung. Über die Sicherheitsupdates werden die referenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 adressiert.
Version 5 (2016-05-04 11:55)
Für Red Hat Enterprise Linux Supplementary Produkte der Version 7 stehen Sicherheitsupdates für IBM Java SE 8 auf die Version 8 SR3 in Form aktualisierter 'java-1.8.0-ibm'-Pakete zur Verfügung. IBM Java SE 8 beinhaltet das IBM Java Runtime Environment (JRE) und das IBM Java Software Development Kit (SDK). Über die Sicherheitsupdates werden die referenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 adressiert.
Version 6 (2016-05-11 19:10)
Für Red Hat Enterprise Linux Supplementary Produkte der Version 6 (Desktop, HPC Node, Server und Workstation) stehen Sicherheitsupdates für IBM Java SE 8 auf die Version 8 SR3 in Form aktualisierter java-1.8.0-ibm-Pakete zur Verfügung. IBM Java SE 8 beinhaltet das IBM Java Runtime Environment (JRE) und das IBM Java Software Development Kit (SDK). Über die Sicherheitsupdates werden die referenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 adressiert.
Version 7 (2016-05-13 19:20)
Für die openSUSE Linux Enterprise Produkte Software Development Kit und Server in den Versionen 11-SP4, 12 und 12-SP1 stehen Sicherheitsupdates auf IBM Java 1.7.1 SR3 FP4 bereit, die die referenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 beheben.
Version 8 (2016-05-17 17:34)
Für SUSE Linux Enterprise Module for Legacy Software 12 steht ein Sicherheitsupdate auf IBM Java 1.6.0 SR16 FP25 bereit, das die referenzierten Schwachstellen mit Ausnahme von CVE-2016-0636 behebt.
Version 9 (2016-05-23 12:29)
Für die SUSE Produkte OpenStack Cloud 5, Manager Proxy 2.1, Manager 2.1, Linux Enterprise Server 11 SP3 LTSS sowie Linux Enterprise Server 11 SP2 LTSS stehen Sicherheitsupdates auf die IBM Java 1.6.0 SR16 FP25 Version wie auch auf das IBM Java 1.7.0 SR9 FP40 Release bereit, welche die aufgelisteten Schwachstellen mit Ausnahme der CVE-2016-0636 adressieren.
Version 10 (2016-05-24 17:20)
Für SUSE Linux Enterprise Server 10 SP4 LTSS steht ein Sicherheitsupdate auf IBM Java 1.6.0 SR16 FP25 bereit, welches alle Schwachstellen bis auf CVE-2016-0636 adressiert.
Version 11 (2016-06-01 17:10)
Für SUSE Linux Enterprise Module for Legacy Software 12 steht ein Sicherheitsupdate auf IBM Java 1.6.0 SR16 FP26 bereit, welches alle Schwachstellen bis auf CVE-2016-0636 adressiert.
Version 12 (2016-06-02 16:39)
Für die SUSE Linux Enterprise Produkte Software Development Kit und Server in Version 12-SP1 steht ein Sicherheitsupdate in Form aktualisierter 'java-1_8_0-ibm'-Pakete bereit, welches alle Schwachstellen bis auf CVE-2016-0636 adressiert.
Version 13 (2016-06-09 19:33)
Mehrere Schwachstellen in IBM Java Runtime betreffen auch IBM Security Network Protection Appliances mit den Firmware Versionen 5.3.1 und 5.3.2. Die Schwachstellen CVE-2016-0695 und CVE-2016-3425 wurden hierfür mit aufgenommen. IBM stellt die IBM Security Network Protection Firmware Versionen 5.3.1.9 und 5.3.2.3 als Sicherheitsupdates zur Verfügung. Mehrere Schwachstellen in IBM SDK Java Technology Edition IBM Java 6 SR16FP20 betreffen auch IBM Domino. IBM stellt Interim Fixes & JVM Patches für die Versionen 9.0.1 Fix Pack 6 und 8.5.3 Fix Pack 6 von IBM Notes, Domino & iNotes zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

IBM
Linux
Microsoft
UNIX

Beschreibung:

Mehrere kritische Schwachstellen in Java SE ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme und die Ausführung beliebigen Programmcodes, unerlaubten Lesezugriff auf Daten und das Auslösen partieller Denial-of-Service (DoS)-Zustände. Einige dieser Schwachstellen betreffen hauptsächlich Client-Installationen, die auf die Java Sandbox als Sicherheit zurückgreifen. CVE-2016-3427 betrifft Client- und Server-Installationen von Java.

IBM adressiert die für IBM SDK relevanten Java SE Schwachstellen, welche von Oracle als Teil des Oracle Critical Patch Updates - April 2016 behoben wurden, zusätzlich die Schwachstelle CVE-2016-0636, welche von Oracle bereits in einer Sicherheitswarnung im März 2016 veröffentlicht wurde und ausschließlich IBM SDK, Java Technology Edition auf Solaris, HP-UX und Mac OS X betrifft, sowie drei weitere Schwachstellen (CVE-2016-0363, CVE-2016-0376 und CVE-2016-0264), welche IBM SDK, Java Technology Edition betreffen.

Schwachstellen:

CVE-2016-0264

Schwachstelle in Java SE ermöglicht das Ausführen beliebigen Programmcodes mit Systemrechten

CVE-2016-0363

Schwachstelle in Java SE ermöglicht Ausführungen beliebigen Programmcodes mit Systemrechten

CVE-2016-0376

Schwachstelle in Java SE ermöglicht Ausführungen beliebigen Programmcodes mit Systemrechten

CVE-2016-0636

Schwachstelle in Java SE ermöglicht das Ausführen beliebigen Programmcodes mit Systemrechten

CVE-2016-0686

Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Systemübernahme

CVE-2016-0687

Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Systemübernahme

CVE-2016-0695

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2016-3422

Schwachstelle in Java SE ermöglicht Denial-of-Service-Angriff

CVE-2016-3425

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2016-3426

Schwachstelle in Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2016-3427

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette Systemübernahme

CVE-2016-3443

Schwachstelle in Java SE ermöglicht komplette Systemübernahme

CVE-2016-3449

Schwachstelle in Java SE ermöglicht komplette Systemübernahme

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.