2017-1561: IBM AIX, IBM VIOS, IBM Java SDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung des Systems
Historie:
- Version 1 (2017-09-06 18:51)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
IBM
UNIX
Beschreibung:
Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE ermöglichen einem entfernten, nicht authentisierten Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das Ausspähen von Informationen und verschiedene Denial-of-Service (DoS)-Angriffe. Eine weitere Schwachstelle ermöglicht auch einem entfernten, einfach authentisierten Angreifer die komplette Kompromittierung eines Systems. Diese Schwachstellen wurden als Teil des IBM Java SDK Updates im Juli 2017 veröffentlicht.
Ein entfernter, nicht authentisierter Angreifer kann zudem eine Schwachstelle in IBM Java SDK ausnutzen, um den 'Security Manager' zu umgehen und Privilegien zu eskalieren, wodurch er die Kontrolle über ein betroffenes System vollständig übernehmen kann. Eine weitere Schwachstelle in in den AIX JRE/SDK 'installp'- und 'updatep'-Paketen ermöglicht einem entfernten, einfach authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und in der Folge wahrscheinlich die Ausführung beliebigen Programmcodes.
IBM informiert über die Schwachstelle in IBM SDK Java Technology Edition in AIX 5.3, 6.1, 7.1, 7.2 sowie VIOS 2.2.x mit folgenden Fileset Levels (VRMF): für Java6 geringer 6.0.0.650, für Java7 geringer 7.0.0.610, für Java7.1 geringer 7.1.0.410 und für Java8 geringer 8.0.0.410. IBM hat die IBM SDK Java Technology Edition Versionen 6 SR16 FP50 (6.0.16.50), 7 SR10 FP10 (7.0.10.10), 7 Release 1 SR4 FP10 (7.1.4.10) und 8 SR4 FP10 (8.0.4.10) als Sicherheitsupdates bereitgestellt.
Schwachstellen:
CVE-2017-10053 CVE-2017-10108 CVE-2017-10109
Schwachstellen in Java SE, Java SE Embedded und JRockit ermöglichen u.a. Denial-of-Service-AngriffCVE-2017-10067
Schwachstelle in Java SE ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10078
Schwachstelle in Java SE ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10087 CVE-2017-10090 CVE-2017-10096 CVE-2017-10101 CVE-2017-10107
Schwachstellen in Java SE und Java SE Embedded ermöglichen komplette Kompromittierung der SoftwareCVE-2017-10089 CVE-2017-10110
Schwachstellen in Java SE ermöglichen komplette Kompromittierung der SoftwareCVE-2017-10102
Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10105
Schwachstelle in Java SE ermöglicht Manipulation von DatenCVE-2017-10115
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von InformationenCVE-2017-10116
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10125
Schwachstelle in Java SE ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10243
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht u.a. Denial-of-Service-AngriffCVE-2017-1376
Schwachstelle in IBM Java SDK ermöglicht komplette SystemübernahmeCVE-2017-1541
Schwachstelle in IBM AIX JRE/SDK ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.