2017-0806: IBM Java SDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme
Historie:
- Version 1 (2017-05-09 19:45)
- Neues Advisory
- Version 2 (2017-05-10 19:02)
- Für die Supplementary-Repositories der Red Hat Enterprise Linux 6 und 7 Produkte Desktop, HPC Node, Server und Workstation stehen Sicherheitsupdates für 'java-1.7.1-ibm' auf Version '7R1 SR4-FP5' und für 'java-1.8.0-ibm' auf Version '8 SR4-FP5' bereit, um die entsprechenden Schwachstellen zu beheben. Für die Red Hat Enterprise Linux 6 Produkte wird zusätzlich 'java-1.6.0-ibm' auf Version '6 SR16-FP45' aktualisiert.
- Version 3 (2017-05-12 14:51)
- Mehrere Schwachstellen existieren in der IBM SDK Java Technology Edition, welche mit IBM WebSphere Application Server ausgeliefert wird. Die Schwachstellen wurden als Teil der IBM Java SDK Updates im April 2017 veröffentlicht. IBM informiert darüber, dass die Schwachstellen IBM WebSphere Application Server Traditional, IBM WebSphere Application Server Liberty und IBM WebSphere Application Server Hypervisor Edition betreffen und stellt für verschiedene Versionszweige und Versionen eine Reihe von Interim Fixes als Sicherheitsupdates zur Behebung der Schwachstellen bereit, durch welche IBM SDK Java Technology Edition, auf die Versionen 6 Service Refresh 16 Fix Pack 45, Version 6R1 Service Refresh 8 Fix Pack 45, Version 7 Service Refresh 10 Fix Pack 5, Version 7R1 Service Refresh 4 Fix Pack 5 bzw. 8 Service Refresh 4 Fix Pack 5 aktualisiert wird. Fix Pack Versionen des IBM WebSphere Application Servers zur Behebung der Schwachstellen sind für alle unterstützten Versionszweige angekündigt: 7.0.0.45 für 2Q 2018, 8.0.0.14 am 16.10.2017, 8.5.5.12 am 04.08.2017 und WebSphere Application Server Liberty 17.0.0.2 am 13.06.2017. Benutzer des Version 9 WebSphere Application Server Traditional können über den IBM Installation Manager auf die Online-Produktrepositories zugreifen, um das SDK zu installieren.
- Version 4 (2017-06-30 11:51)
- Für IBM AIX 5.3, 6.1, 7.1 und 7.2 sowie VIOS 2.2.x stehen die folgenden Versionen des IBM Java SDK als Sicherheitsupdates zur Behebung der Schwachstellen bereit: Version 6 Service Refresh 16 Fix Pack 45, Version 7 Service Refresh 10 Fix Pack 5, Version 7R1 Service Refresh 4 Fix Pack 5 und Version 8 Service Refresh 4 Fix Pack 6. Die Schwachstelle CVE-2017-3526 wird hier nicht erwähnt.
- Version 5 (2017-08-10 13:47)
- Mehrere Schwachstellen in IBM SDK Java Technology Edition Version 6 SR16FP41 und Version 8 SR4FP1 betreffen alle IBM Notes Releases der Versionszweige 9.0,x, 9.0, 8.5.x und 8.5 bis Version 9.0.1 FP8 IF1 und Version 8.5.3 FP6 IF14 für Linux und Windows. Als Sicherheitsupdates werden von IBM die IBM SDK Java Technology Edition Versionen 6 SR16FP45 und 8 SR4FP5 bereitgestellt.
- Version 6 (2017-08-14 12:47)
- Mehrere Schwachstellen in IBM SDK Java Technology Edition Version 6 SR16FP41 und Version 8 SR4FP1 betreffen ebenfalls IBM Domino in allen Releases der Versionszweige 9.0.x, 9.0, 8.5.x und 8.5 bis Version 9.0.1 FP8 IF4 und Version 8.5.3 FP6 IF18 für Linux, Windows und AIX. IBM stellt auch hierfür die IBM SDK Java Technology Edition Versionen 6 SR16FP45 und 8 SR4FP5 als Sicherheitsupdates bereit.
Betroffene Software
Entwicklung
Middleware
Server
Betroffene Plattformen
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE ermöglichen einem entfernten, nicht authentisierten Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das Ausspähen von Informationen und einen Denial-of-Service (DoS)-Angriff. Eine weitere Schwachstelle ermöglicht auch einem lokalen, nicht authentisierten Angreifer die komplette Kompromittierung eines Systems. Mehrere Schwachstellen in zlib ermöglichen einem entfernten, nicht authentisierten Angreifer verschiedene Denial-of-Service (DoS)-Angriffe und eine weitere Schwachstelle (CVE-2017-1289) in IBM SDK, Java Technology Edition ermöglicht zusätzlich das Ausspähen von Informationen.
IBM informiert darüber, dass das IBM® SDK, Java™ Technology Edition bis inklusive der Versionen 6 Service Refresh 16 Fix Pack 41, Version 6R1 Service Refresh 8 Fix Pack 41, Version 7 Service Refresh 10 Fix Pack 1, Version 7R1 Service Refresh 4 Fix Pack 1 und Version 8 Service Refresh 4 Fix Pack 2 von den mit dem Oracle April 2017 Critical Patch Update veröffentlichten Schwachstellen in Java SE sowie von 5 weiteren Schwachstellen betroffen ist. IBM stellt die Versionen 6 Service Refresh 16 Fix Pack 45, Version 6R1 Service Refresh 8 Fix Pack 45, Version 7 Service Refresh 10 Fix Pack 5, Version 7R1 Service Refresh 4 Fix Pack 5 und Version 8 Service Refresh 4 Fix Pack 5 als Sicherheitsupdates zur Behebung dieser Schwachstellen bereit.
Schwachstellen:
CVE-2016-9840
Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-AngriffCVE-2016-9841
Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-AngriffCVE-2016-9842
Schwachstelle in zlib ermöglicht Denial-of-Service-AngriffCVE-2016-9843
Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-AngriffCVE-2017-1289
Schwachstelle in IBM SDK Java Technology Edition ermöglicht Ausspähen von Informationen und Denial-of-Service-AngriffCVE-2017-3509
Schwachstelle in Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen und Manipulation von DatenCVE-2017-3511
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette SystemübernahmeCVE-2017-3512
Schwachstelle in Java SE ermöglicht komplette SystemübernahmeCVE-2017-3514
Schwachstelle in Java SE emöglicht komplette SystemübernahmeCVE-2017-3526
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-AngriffCVE-2017-3533
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von DatenCVE-2017-3539
Schwachstelle in Java SE und Java SE Embedded ermöglicht Manipulation von DatenCVE-2017-3544
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.