[Sec-cert] DFN-CERT-2013-1234 Mehrere Schwachstellen in IBM Java 1.7 [Linux][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Mi Jul 3 16:00:47 CEST 2013


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Paket IBM Java

Betroffene Plattformen:

  SUSE Linux Enterprise Software Development Kit 11 SP3
  SUSE Linux Enterprise Server 11 SP3 für VMware
  SUSE Linux Enterprise Server 11 SP3


Mehrere Schwachstellen in IBM Java 1.7 ermöglichen einem entfernten
Angreifer schlimmstenfalls die Vertraulichkeit vollständig, die Integrität
vollständig und die Verfügbarkeit vollständig zu beeinträchtigen.


Software Upgrade:

  Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

  <http://download.novell.com/index.jsp>


CVE-2013-1491: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "2D" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor,  JavaFX 2.2.7
  und davor. Diese ermöglicht einem entfernten Angreifer, ohne
  Authentifizierung, die Vertraulichkeit vollständig, die Integrität
  vollständig und die Verfügbarkeit vollständig zu beeinträchtigen.


CVE-2013-2419: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "2D" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Verfügbarkeit
  teilweise zu beeinträchtigen.


CVE-2013-2383: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "2D" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-1569: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "2D" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-2417: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "Networking" enthalten. Betroffen sind die Versionen 7
  Update 17 und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese
  ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
  Verfügbarkeit teilweise zu beeinträchtigen.


CVE-2013-1537: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "RMI" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-2432: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "2D" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor,  JavaFX 2.2.7
  und davor. Diese ermöglicht einem entfernten Angreifer, ohne
  Authentifizierung, die Vertraulichkeit vollständig, die Integrität
  vollständig und die Verfügbarkeit vollständig zu beeinträchtigen.


CVE-2013-1557: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "RMI" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-2384: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "2D" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-2440: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "Deployment" enthalten. Betroffen sind die Versionen 7
  Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem
  entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-2394: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "2D" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor,  JavaFX 2.2.7
  und davor. Diese ermöglicht einem entfernten Angreifer, ohne
  Authentifizierung, die Vertraulichkeit vollständig, die Integrität
  vollständig und die Verfügbarkeit vollständig zu beeinträchtigen.


CVE-2013-2422: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "Libraries" enthalten. Betroffen sind die Versionen 7
  Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem
  entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-2429: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "ImageIO" enthalten. Betroffen sind die Versionen 7 Update
  17 und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese
  ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
  Vertraulichkeit vollständig, die Integrität vollständig und die
  Verfügbarkeit vollständig zu beeinträchtigen.


CVE-2013-2424: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "JMX" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  teilweise zu beeinträchtigen.


CVE-2013-2420: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "2D" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-1563: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "Install" enthalten. Betroffen sind die Versionen 7 Update
  17 und davor, 6 Update 43 und davor,  JavaFX 2.2.7 und davor. Diese
  ermöglicht einem entfernten Angreifer, ohne Authentifizierung, die
  Vertraulichkeit vollständig, die Integrität vollständig und die
  Verfügbarkeit vollständig zu beeinträchtigen.


CVE-2013-1540: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "Deployment" enthalten. Betroffen sind die Versionen 7
  Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem
  entfernten Angreifer, ohne Authentifizierung, die Integrität teilweise zu
  beeinträchtigen.


CVE-2013-2430: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "ImageIO" enthalten. Betroffen sind die Versionen 7 Update
  17 und davor, 6 Update 43 und davor,  5.0 Update 41 und davor,  JavaFX 2.2.7
  und davor. Diese ermöglicht einem entfernten Angreifer, ohne
  Authentifizierung, die Vertraulichkeit vollständig, die Integrität
  vollständig und die Verfügbarkeit vollständig zu beeinträchtigen.


CVE-2013-2435: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "Deployment" enthalten. Betroffen sind die Versionen 7
  Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem
  entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  vollständig, die Integrität vollständig und die Verfügbarkeit vollständig zu
  beeinträchtigen.


CVE-2013-0401: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "AWT" enthalten. Betroffen sind die Versionen 7 Update 17
  und davor, 6 Update 43 und davor,  5.0 Update 41 und davor. Diese ermöglicht
  einem entfernten Angreifer, ohne Authentifizierung, die Vertraulichkeit
  teilweise und die Integrität teilweise zu beeinträchtigen.


CVE-2013-2433: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "Deployment" enthalten. Betroffen sind die Versionen 7
  Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem
  entfernten Angreifer, ohne Authentifizierung, die Integrität teilweise zu
  beeinträchtigen.


CVE-2013-2418: Schwachstelle in Oracle Java

  In Java Runtime Environment ist eine nicht näher beschriebene Schwachstelle
  in der Komponente "Deployment" enthalten. Betroffen sind die Versionen 7
  Update 17 und davor, 6 Update 43 und davor. Diese ermöglicht einem lokalen
  Angreifer, ohne Authentifizierung, die Vertraulichkeit teilweise, die
  Integrität teilweise und die Verfügbarkeit teilweise zu beeinträchtigen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-1234/>

Das Hersteller Advisory:
  <http://lists.opensuse.org/opensuse-security-announce>

Schwachstelle CVE-2013-2383:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2383>

Schwachstelle CVE-2013-2384:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2384>

Schwachstelle CVE-2013-1569:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1569>

Schwachstelle CVE-2013-2432:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2432>

Schwachstelle CVE-2013-2420:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2420>

Schwachstelle CVE-2013-1491:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1491>

Schwachstelle CVE-2013-2440:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2440>

Schwachstelle CVE-2013-2435:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2435>

Schwachstelle CVE-2013-2422:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2422>

Schwachstelle CVE-2013-1537:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1537>

Schwachstelle CVE-2013-1557:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1557>

Schwachstelle CVE-2013-2394:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2394>

Schwachstelle CVE-2013-2430:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2430>

Schwachstelle CVE-2013-2429:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2429>

Schwachstelle CVE-2013-1563:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1563>

Schwachstelle CVE-2013-0401:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0401>

Schwachstelle CVE-2013-2419:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2419>

Schwachstelle CVE-2013-2424:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2424>

Schwachstelle CVE-2013-2417:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2417>

Schwachstelle CVE-2013-2418:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2418>

Schwachstelle CVE-2013-2433:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2433>

Schwachstelle CVE-2013-1540:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1540>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4333 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20130703/8e5a7d55/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert