UPDATE: DFN-CERT-2016-1167 Oracle Java SE, Java SE Embedded, JRockit, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Linux][Fedora][RedHat][Unix][Apple][Solaris][Windows]

DFN-CERT portal at dfn-cert.de
Wed Jul 27 10:40:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 4 (27.07.2016):
    Für Fedora 24 steht mit dem Paket
    'java-1.8.0-openjdk-1.8.0.101-1.b14.fc24' ein Sicherheitsupdate für
    OpenJDK 1.8.0 auf Version u101-b14 bereit, welches sich derzeit noch im
    Status 'pending' befindet. Canonical stellt für die Distribution Ubuntu
    16.04 LTS ebenfalls ein Sicherheitsupdate für OpenJDK 8 zur Verfügung.
  Version 3 (21.07.2016):
    Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen nun
    auch Sicherheitsupdates für Java SE 6 in der Version 6u121, Java SE 7 in
    der Version 7u111 und Java SE 8 in der Version 8u101 zur Verfügung. Red
    Hat listet in seinen Sicherheitsmeldungen jeweils die in der betreffenden
    Java SE Version behobenen Schwachstellen.
  Version 2 (20.07.2016):
    Für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte stehen
    Sicherheitsupdates für OpenJDK 8 zur Verfügung. Die Schwachstellen
    CE-2016-3485, CVE-2016-3498, CVE-2016-3503, CVE-2016-3511 und
    CVE-2016-3552 werden von Red Hat nicht referenziert.
  Version 1 (20.07.2016):
    Neues Advisory

Betroffene Software:

  Oracle Java SE <= 6u115
  Oracle Java SE <= 7u101
  Oracle Java SE <= 8u92
  Oracle Java SE Embedded <= 8u91
  Oracle JRockit <= r28.3.10
  OpenJDK 1.8.0
  

Betroffene Plattformen:

  Apple Mac OS X
  Canonical Ubuntu Linux 16.04 LTS
  GNU/Linux
  Microsoft Windows 
  Oracle Solaris
  Red Hat Enterprise Linux Desktop 5
  Red Hat Enterprise Linux Desktop 6
  Red Hat Enterprise Linux Desktop 7
  Red Hat Enterprise Linux HPC Node 6
  Red Hat Enterprise Linux HPC Node 7
  Red Hat Enterprise Linux HPC Node 7.2 EUS
  Red Hat Enterprise Linux Server 5
  Red Hat Enterprise Linux Server 6
  Red Hat Enterprise Linux Server 7
  Red Hat Enterprise Linux Server 7.2 AUS
  Red Hat Enterprise Linux Server 7.2 EUS
  Red Hat Enterprise Linux Workstation 6
  Red Hat Enterprise Linux Workstation 7
  Red Hat Fedora 24
  


Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE,
Java SE Embedded und JRockit ermöglichen einem entfernten, nicht
authentifizierten Angreifer die komplette Systemübernahme und die Ausführung
beliebigen Programmcodes, unerlaubten Lesezugriff auf Daten, das Umgehen von
Sicherheitsvorkehrungen und das Auslösen partieller Denial-of-Service
(DoS)-Zustände. Zehn dieser Schwachstellen betreffen hauptsächlich
Client-Installationen, die auf die Java Sandbox als Sicherheit
zurückgreifen. CVE-2016-3485, CVE-2016-3500 und CVE-2016-3508 betreffen
Client- und Server-Installationen von Java. Für die erfolgreiche Ausnutzung
einiger Schwachstellen ist eine nicht näher spezifizierte
Benutzerinteraktion, also einer anderen Person als der des Angreifers,
erforderlich. 

Oracle empfiehlt Benutzern von Java SE in Browsern, die aktuelle
Programmversion manuell zu installieren. Benutzern von Microsoft Windows und
Mac OS X werden die entsprechenden Sicherheitsupdates über die automatischen
Systemupdates zur Verfügung gestellt.


Patch:

  Oracle Critical Patch Update Advisory - July 2016 (CPUJul2016): Oracle Java
  SE

  <http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixJAVA>

Patch:

  Red Hat Security Advisory RHSA-2016:1458

  <http://rhn.redhat.com/errata/RHSA-2016-1458.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1475

  <http://rhn.redhat.com/errata/RHSA-2016-1475.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1476

  <http://rhn.redhat.com/errata/RHSA-2016-1476.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1477

  <http://rhn.redhat.com/errata/RHSA-2016-1477.html>

Patch:

  Fedora Security Update FEDORA-2016-588e386aaa (Fedora 24,
  java-1.8.0-openjdk-1.8.0.101-1.b14)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-588e386aaa>

Patch:

  Ubuntu Security Notice USN-3043-1 (Ubuntu 16.04 LTS, OpenJDK 8)

  <http://www.ubuntu.com/usn/usn-3043-1/>


CVE-2016-3610: Schwachstelle in Java SE und Java SE Embedded ermöglicht
  komplette Systemübernahme

  Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
  Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund
  unzureichender Überprüfung eines Wertezählers in der Funktion
  MethodHandles.filterReturnValue(). Dies ermöglicht einem entfernten, nicht
  authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
  komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
  Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
  und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
  Sandboxed Java Applets ausgenutzt werden. Für eine erfolgreiche Ausnutzung
  der Schwachstelle ist eine Benutzerinteraktion erforderlich. 


CVE-2016-3606: Schwachstelle in Java SE und Java SE Embedded ermöglicht
  komplette Systemübernahme

  Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
  Oracle Java 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert aufgrund
  einer unzureichenden Verifikation von Bytecode. Dies ermöglicht einem
  entfernten, nicht authentifizierten Angreifer über verschiedene Protokolle
  unautorisiert die komplette Systemübernahme und damit die Ausführung
  beliebigen Programmcodes. Diese Schwachstelle betrifft hauptsächlich
  Client-Installationen von Java und kann beispielsweise über Sandboxed Java
  Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Für eine
  erfolgreiche Ausnutzung der Schwachstelle ist eine Benutzerinteraktion
  notwendig.


CVE-2016-3598: Schwachstelle in Java SE und Java SE Embedded ermöglicht
  komplette Systemübernahme

  Eine leicht auszunutzende Schwachstelle in der Subkomponente Libraries von
  Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund einer
  fehlerhaften Behandlung von Argumenten der Funktion
  MethodHandles.dropArguments(). Dies ermöglicht einem entfernten, nicht
  authentifizierten Angreifer über verschiedene Protokolle unautorisiert die
  komplette Systemübernahme und damit die Ausführung beliebigen Programmcodes.
  Diese Schwachstelle betrifft hauptsächlich Client-Installationen von Java
  und kann beispielsweise über Sandboxed Java Web Start-Anwendungen und
  Sandboxed Java Applets ausgenutzt werden. Für eine erfolgreiche Ausnutzung
  der Schwachstelle ist eine Benutzerinteraktion notwendig.


CVE-2016-3587: Schwachstelle in Java SE und Java SE Embedded ermöglicht
  komplette Systemübernahme

  Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
  Oracle Java SE 8u92 und Java SE Embedded 8u91 existiert aufgrund
  unzureichender Schutzmechanismen in der Funktion MethodHandle.invokeBasic().
  Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
  verschiedene Protokolle unautorisiert die komplette Systemübernahme und
  damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
  hauptsächlich Client-Installationen von Java und kann beispielsweise über
  Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
  werden. Für eine erfolgreiche Ausnutzung der Schwachstelle ist eine
  Benutzerinteraktion notwendig.


CVE-2016-3552: Schwachstelle in Java SE ermöglicht komplette Systemübernahme

  Eine schwer auszunutzende Schwachstelle in der Subkomponente Install von
  Oracle Java SE 8u92 ermöglicht einem lokalen, nicht authentifizierten
  Angreifer unautorisiert die komplette Systemübernahme und damit die
  Ausführung beliebigen Programmcodes. Diese Schwachstelle kann während des
  Installationsprozesses von Java auf Client-Systemen ausgenutzt werden.


CVE-2016-3550: Schwachstelle in Java SE und Java SE Embedded ermöglicht
  Ausspähen von Informationen

  Eine leicht auszunutzende Schwachstelle in der Subkomponente Hotspot von
  Oracle Java SE 6u115, 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert
  aufgrund eines Ganzzahlüberlaufs (Integer Overflow) in Bytecode-Streams.
  Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
  verschiedene Protokolle unautorisiert Informationen auszuspähen, wobei für
  die erfolgreiche Ausnutzung eine Benutzerinteraktion erforderlich ist. Diese
  Schwachstelle betrifft hauptsächlich Client-Installationen von Java und kann
  beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
  Applets ausgenutzt werden.


CVE-2016-3511: Schwachstelle in Java SE ermöglicht komplette Systemübernahme

  Eine schwer auszunutzende Schwachstelle in der Subkomponente Deployment von
  Oracle Java SE 7u101 und 8u92 ermöglicht einem lokalen, nicht
  authentifizierten Angreifer unautorisiert die komplette Systemübernahme und
  damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle betrifft
  hauptsächlich Client-Installationen von Java und kann beispielsweise über
  Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
  werden. Für eine erfolgreiche Ausnutzung der Schwachstelle ist eine
  Benutzerinteraktion erforderlich. 


CVE-2016-3508: Schwachstelle in Java SE, Java SE Embedded und JRockit
  ermöglicht Denial-of-Service-Angriff

  Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
  Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit R28.3.10
  existiert aufgrund einer fehlenden Begrenzung für die Ersetzung von
  Entitäten. Dies ermöglicht einem entfernten, nicht authentifizierten
  Angreifer über verschiedene Protokolle einen partiellen Denial-of-Service
  (DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft Client- und
  Server-Installationen von Java und kann beispielsweise über Sandboxed Java
  Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
  hinaus sind Java-basierte Web Services über die Programmschnittstellen
  (APIs) von JAXP angreifbar.


CVE-2016-3503: Schwachstelle in Java SE ermöglicht komplette Systemübernahme

  Eine schwer auszunutzende Schwachstelle in der Subkomponente Install von
  Oracle Java SE 6u115, 7u101 und 8u92 ermöglicht einem lokalen, nicht
  authentifizierten Angreifer unautorisiert die komplette Systemübernahme und
  damit die Ausführung beliebigen Programmcodes. Diese Schwachstelle kann
  während des Installationsprozesses von Java auf Client-Systemen ausgenutzt
  werden, wobei eine Benutzerinteraktion erforderlich ist.


CVE-2016-3500: Schwachstelle in Java SE, Java SE Embedded und JRockit
  ermöglicht Denial-of-Service-Angriff

  Eine leicht auszunutzende Schwachstelle in der Subkomponente JAXP von Oracle
  Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit R28.3.10
  existiert, weil die Maximalbegrenzung für XML-Namen nicht auf den Namensraum
  angewandt wird. Dies ermöglicht einem entfernten, nicht authentifizierten
  Angreifer über verschiedene Protokolle einen partiellen Denial-of-Service
  (DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft Client- und
  Server-Installationen von Java und kann beispielsweise über Sandboxed Java
  Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
  hinaus sind Java-basierte Web Services über die Programmschnittstellen
  (APIs) von JAXP angreifbar.


CVE-2016-3498: Schwachstelle in Java SE ermöglicht Denial-of-Service-Angriff

  Eine leicht auszunutzende Schwachstelle in der Subkomponente JavaFX von
  Oracle Java SE 7u101 und 8u92 ermöglicht einem entfernten, nicht
  authentifizierten Angreifer über verschiedene Protokolle einen partiellen
  Denial-of-Service (DoS)-Zustand herbeizuführen. Diese Schwachstelle betrifft
  hauptsächlich Client-Installationen von Java und kann beispielsweise über
  Sandboxed Java Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt
  werden.


CVE-2016-3485: Schwachstelle in Java SE, Java SE Embedded und JRockit
  ermöglicht Umgehen von Sicherheitsvorkehrungen

  Eine schwer auszunutzende Schwachstelle in der Subkomponente Networking von
  Oracle Java SE 6u115, 7u101 und 8u92; Java SE Embedded 8u91 und JRockit
  R28.3.10 existiert aufgrund eines schwachen Authentisierungsgeheimnisses in
  der Pipe-Implementierung auf Windows-Systemen. Dies ermöglicht einem
  lokalen, nicht authentifizierten Angreifer das Umgehen von
  Sicherheitsvorkehrungen. Diese Schwachstelle betrifft Client- und
  Server-Installationen von Java und kann beispielsweise über Sandboxed Java
  Web Start-Anwendungen und Sandboxed Java Applets ausgenutzt werden. Darüber
  hinaus sind Java-basierte Web Services über die Programmschnittstellen
  (APIs) angreifbar.


CVE-2016-3458: Schwachstelle in Java SE und Java SE Embedded ermöglicht
  Umgehen von Sicherheitsvorkehrungen

  Eine leicht auszunutzende Schwachstelle in der Subkomponente CORBA von
  Oracle Java SE 6u115, 7u101 und 8u92 sowie Java SE Embedded 8u91 existiert
  aufgrund unzureichender Beschränkungen für die Verwendung des ValueHandlers.
  Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer über
  verschiedene Protokolle das Umgehen von Sicherheitsvorkehrungen. Diese
  Schwachstelle betrifft hauptsächlich Client-Installationen von Java und kann
  beispielsweise über Sandboxed Java Web Start-Anwendungen und Sandboxed Java
  Applets ausgenutzt werden. Die erfolgreiche Ausnutzung der Schwachstelle
  erfordert eine Benutzerinteraktion. 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1167/>

Oracle Critical Patch Update Advisory - July 2016 (CPUJul2016): Oracle Java SE:
  <http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixJAVA>

Red Hat Security Advisory RHSA-2016:1458:
  <http://rhn.redhat.com/errata/RHSA-2016-1458.html>

Schwachstelle CVE-2016-3458 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3458>

Schwachstelle CVE-2016-3485 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3485>

Schwachstelle CVE-2016-3498 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3498>

Schwachstelle CVE-2016-3500 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3500>

Schwachstelle CVE-2016-3503 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3503>

Schwachstelle CVE-2016-3508 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3508>

Schwachstelle CVE-2016-3511 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3511>

Schwachstelle CVE-2016-3550 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3550>

Schwachstelle CVE-2016-3552 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3552>

Schwachstelle CVE-2016-3587 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3587>

Schwachstelle CVE-2016-3598 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3598>

Schwachstelle CVE-2016-3606 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3606>

Schwachstelle CVE-2016-3610 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3610>

Red Hat Security Advisory RHSA-2016:1475:
  <http://rhn.redhat.com/errata/RHSA-2016-1475.html>

Red Hat Security Advisory RHSA-2016:1476:
  <http://rhn.redhat.com/errata/RHSA-2016-1476.html>

Red Hat Security Advisory RHSA-2016:1477:
  <http://rhn.redhat.com/errata/RHSA-2016-1477.html>

Fedora Security Update FEDORA-2016-588e386aaa (Fedora 24,
java-1.8.0-openjdk-1.8.0.101-1.b14):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-588e386aaa>

Ubuntu Security Notice USN-3043-1 (Ubuntu 16.04 LTS, OpenJDK 8):
  <http://www.ubuntu.com/usn/usn-3043-1/>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160727/84a8835a/attachment.bin>


More information about the Security-Announce mailing list