[Sec-cert] UPDATE: DFN-CERT-2014-0179 OpenJDK: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten [Linux][SuSE]

portal at dfn-cert.de portal at dfn-cert.de
Fr Feb 28 11:05:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (28.02.2014):
    Canonical stellt für Ubuntu Linux 10.04 LTS und 12.04 LTS
    Sicherheitsupdates für alle Schwachstellen bis auf CVE-2013-5893 zur
    Verfügung.
  Version 1 (13.02.2014):
    Neues Advisory

Betroffene Software:

  OpenJDK <= 1.7.0
  

Betroffene Plattformen:

  Canonical Ubuntu Linux 10.04 Lts
  Canonical Ubuntu Linux 12.04 Lts
  Novell SUSE Linux Enterprise Desktop 11 SP3
  


Mehrere Schwachstellen in openjdk ermöglichen es einem entfernten, nicht
authentifizierten Angreifer Administratorrechte zu erlangen.


Patch:

  SUSE Security Update SUSE-SU-2014:0215-1

  <https://www.suse.com/support/update/announcement/2014/suse-su-20140215-1.html>

Patch:

  Ubuntu Security Notice USN-2124-1

  <http://www.ubuntu.com/usn/usn-2124-1/>


CVE-2013-5893: Schwachstelle in JavaSE Libraries

  In der JavaSE-Komponente Libraries ermöglicht es diese Schwachstelle  bei
  der Durchsetzung von Zugriffsbeschränkungen über die Verwendung
  verschiedener Protokolle das System oder den Dienst zu übernehmen. Die
  Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
  geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden. 


CVE-2013-5910: Schwachstelle in JavaSE Security

  Eine Schwachstelle in der JavaSE Security führt dazu, dass unzureichende
  Sicherheitsprüfungen durchgeführt werden, wodurch Schreib- und Lesezugriffe
  auf Dateien im Kontext des Java Prozesses möglich sind. 
  


CVE-2014-0428: Schwachstelle in JavaSE CORBA

  In der JavaSE-Komponente CORBA ermöglicht es diese Schwachstelle bei der
  Durchsetzung von Zugriffsbeschränkungen einem entfernten, nicht
  authentifizierten Angreifer über verschiedene Protokolle das System oder den
  Dienst zu übernehmen. 
  
  Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
  geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden. 


CVE-2014-0423: Schwachstelle in JavaSE Beans

  In der JavaSE-Komponente Beans ermöglicht es diese Schwachstelle einem
  entfernten Angreifer, über verschiedene Protokolle auf Daten zuzugreifen,
  die von der Anwendung verarbeitet werden, oder einen Denial-of-Service zu
  verursachen. 
  
  Die Schwachstelle kann bei Client- und Serverinstallationen, durch die
  Sandbox geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt
  werden. 


CVE-2014-0422: Schwachstelle in JavaSE JNDI

  Im Java Naming and Directory Interface (JNDI) ermöglicht es diese
  Schwachstelle bei der Durchsetzung von Zugriffsbeschränkungen einem
  entfernten, nicht authentifizierten Angreifer, über verschiedene Protokolle
  das System oder den Dienst zu übernehmen. 
  
  Die Schwachstelle kann nur bei Client-Installationen, durch die Sandbox
  geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden. 


CVE-2014-0416: Schwachstelle in JavaSE JAAS

  In der JavaSE-Komponente JAAS ermöglicht es diese Schwachstelle einem
  entfernten, nicht authentifizierten Angreifer, über verschiedene Protokolle
  das System oder den Dienst zu manipulieren. Insbesondere kann der Angreifer
  durch die Anwendung zugängliche Daten lesen, verändern oder löschen. 
  
  Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
  geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden. 


CVE-2014-0411: Schwachstelle in JavaSE JSSE

  In der JavaSE-Komponente JSSE ermöglicht es diese Schwachstelle einem
  entfernten, nicht authentifizierten Angreifer über SSL/TLS das System oder
  den Dienst zu manipulieren. Insbesondere kann der Angreifer durch die
  Anwendung zugängliche Daten lesen, verändern oder löschen.
  
  Die Schwachstelle kann bei Client- und Serverinstallationen ausgenutzt
  werden.


CVE-2014-0376: Schwachstelle in JavaSE JAXP

  In JAX-WS, der Java API für XML Web Services, werden durch eine
  Schwachstelle unzureichende Sicherheitsprüfungen durchgeführt, wodurch
  Schreib- und Lesezugriffe auf Dateien im Kontext des Java Prozesses möglich
  sind. Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
  geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden. 


CVE-2014-0373: Schwachstelle in JavaSE Serviceability

  In der JavaSE-Komponente Serviceability ermöglicht es diese Schwachstelle,
  über die Verwendung verschiedener Protokolle durch die Anwendung zugängliche
  Daten zu lesen, zu verändern oder zu löschen. Die Schwachstelle kann nur bei
  Clientinstallationen, durch die Sandbox geschützten Java-Applets oder
  WebStart-Anwendungen ausgenutzt werden. 


CVE-2014-0368: Schwachstelle in JavaSE Networking

  In der JavaSE-Komponente Networking ermöglicht es eine Schwachstelle, über
  die Verwendung verschiedener Protokolle, die durch die Anwendung
  zugänglichen Daten zu lesen.  Die Schwachstelle kann nur bei
  Clientinstallationen, durch die Sandbox geschützten Java-Applets oder
  WebStart-Anwendungen ausgenutzt werden. 


CVE-2013-5907: Schwachstellen in JavaSE 2D

  In der JavaSE-Komponente 2D ermöglicht es eine fehlerhafte Eingabeprüfung,
  über die Verwendung verschiedener Protokolle das System oder den Dienst zu
  übernehmen und unter Umständen, die Beschränkungen der Java-Sandbox zu
  umgehen. Die Schwachstelle kann bei Client- und Serverinstallationen, durch
  die Sandbox geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt
  werden.
  
  


CVE-2013-5896: Schwachstelle in JavaSE CORBA

  In der JavaSE-Komponente CORBA ermöglicht es diese Schwachstelle, über die
  Verwendung verschiedener Protokolle das System oder den Dienst zum Absturz
  zu bringen. Die Schwachstelle kann nur bei Clientinstallationen, durch die
  Sandbox geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt
  werden. 


CVE-2013-5884: Schwachstelle in JavaSE CORBA

  Eine Schwachstelle in der JavaSE-Komponente CORBA führt dazu, dass durch
  nicht näher beschriebene Aktionen mit verschiedenen Protokollen, lesender
  Zugriff auf Dateien im Kontext des Java Prozesses möglich ist. Die
  Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
  geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden. 


CVE-2013-5878: Schwachstelle in JavaSE Security

  Eine Schwachstelle in der JavaSE Security führt dazu, dass durch nicht näher
  beschriebene Aktionen unter Verwendung verschiedener Protokolle,  Schreib-
  und Lesezugriffe auf Dateien im Kontext des Java Prozesses möglich sind. 
  Die Schwachstelle kann nur bei Clientinstallationen, durch die Sandbox
  geschützten Java-Applets oder WebStart-Anwendungen ausgenutzt werden. 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0179/>

Schwachstelle CVE-2013-5907 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5907>

Schwachstelle CVE-2014-0423 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0423>

Schwachstelle CVE-2014-0428 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0428>

Schwachstelle CVE-2013-5896 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5896>

Schwachstelle CVE-2013-5884 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5884>

Schwachstelle CVE-2014-0373 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0373>

Schwachstelle CVE-2013-5878 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5878>

Schwachstelle CVE-2013-5910 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5910>

Schwachstelle CVE-2014-0368 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0368>

Schwachstelle CVE-2013-5893 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5893>

Schwachstelle CVE-2014-0411 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0411>

Schwachstelle CVE-2014-0422 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0422>

Schwachstelle CVE-2014-0376 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0376>

Schwachstelle CVE-2014-0416 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0416>

SUSE Security Update SUSE-SU-2014:0215-1:
  <https://www.suse.com/support/update/announcement/2014/suse-su-20140215-1.html>

Ubuntu Security Notice USN-2124-1:
  <http://www.ubuntu.com/usn/usn-2124-1/>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140228/3f88e822/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert