Kurzinfo CB-K16/0089 Update 2

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Oracle Java SE, Java SE Embedded, JRockit, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten
Datum: 21.01.2016
Software: Oracle Java SE <= 6u105, Oracle Java SE <= 7u91, Oracle Java SE <= 8u66, Oracle Java SE Embedded <= 8u65, Oracle JRockit <= R28.3.8, OpenJDK 1.7.0, OpenJDK 1.8.0
Plattform: Apple Mac OS X, GNU/Linux, Microsoft Windows , Oracle Solaris, Red Hat Enterprise Linux Desktop 5 Client, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux HPC Node 7, Red Hat Enterprise Linux Server 5, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 6.7.z EUS, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 22, Red Hat Fedora 23
Auswirkung: Erlangen von Administratorrechten
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2015-7575, CVE-2015-8126, CVE-2015-8472, CVE-2016-0402, CVE-2016-0448, CVE-2016-0466, CVE-2016-0475, CVE-2016-0483, CVE-2016-0494
Bezug: Oracle Critical Patch Update Advisory - Januar 2016 (CPUJan2016)
Beschreibung

Die Java Platform Standard Edition (Java SE) ist eine plattformübergreifende Umgebung für Anwendungen, die auf vielen Geräten laufen sollen.

Oracle Java SE Embedded ist eine Version von Oracle, die speziell auf den Einsatz in Embedded-Systemen ausgelegt ist.

Die Oracle JRockit JVM (Java Virtual Machine) ist eine Java virtuelle Maschine, die Teil der Oracle Middleware ist.

OpenJDK (Java Development Kit) als OpenSource-Variante zum Oracle JDK bietet Entwicklern neben der Java-Laufzeitumgebung (Runtime Environment, JRE) weitere Tools für Entwicklung, Debugging und Monitoring.

Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem nicht authentifizierten, entfernten Angreifer unerlaubt Lesezugriff auf Daten zu erlangen, unautorisiert Schreibzugriffe auf Dateien zu erlangen, partielle Denial-of-Service (DoS)-Zustände auszulösen oder das betroffene Betriebssytem zu übernehmen und somit auch beliebigen Programmcode auszuführen. Fünf der aufgeführten Schwachstellen betreffen ausschließlich Client Installationen, die Schwachstellen CVE-2016-0483, CVE-2016-0475, CVE-2016-0466 und CVE-2015-7575 betreffen Client und Server Installationen. Update: Red Hat stellt für die Red Hat Enterprise Linux 5, 6 und 7 Produkte Desktop, HPC Node, Server und Workstation sowie für Red Hat Enterprise Linux Server EUS (v. 6.7.z) Sicherheitsupdates für die Oracle Java SE Versionen 6, 7 und 8 (diese beinhalten jeweils Oracle Java Runtime Environment und Oracle Java Software Development Kit) zur Behebung der für die jeweiligen Versionen relevanten Schwachstellen zur Verfügung. Mit einem Sicherheitsupdate für OpenJDK 7 wird zusätzlich die Schwachstelle CVE-2015-4871 adressiert, die für andere Versionen bereits mit Oracle Critical Patch Update Advisory - Oktober 2015 (CPUOct2015) behoben wurde und deshalb an dieser Stelle nicht aufgenommen wird. Für die Distributionen Fedora 22 und Fedora 23 werden Sicherheitsupdates für OpenJDK 8 in Form der Pakete java-1.8.0-openjdk-1.8.0.71-1.b15.fc22 und java-1.8.0-openjdk-1.8.0.71-1.b15.fc23 bereitgestellt, die sich derzeit noch im Status 'pending' befinden.

  1. Schwachstelle CVE-2015-8126 (NVD)

  2. Schwachstelle CVE-2015-8472 (NVD)

  3. Schwachstelle CVE-2015-7575 (NVD)

  4. Oracle Critical Patch Update Advisory - Januar 2016 (CPUJan2016)

  5. Schwachstelle CVE-2016-0402 (NVD)

  6. Schwachstelle CVE-2016-0448 (NVD)

  7. Schwachstelle CVE-2016-0466 (NVD)

  8. Schwachstelle CVE-2016-0475 (NVD)

  9. Schwachstelle CVE-2016-0483 (NVD)

  10. Schwachstelle CVE-2016-0494 (NVD)

  11. Fedora Security Update FEDORA-2016-3ea667977a (Fedora 22)

  12. Fedora Security Update FEDORA-2016-946b98126d (Fedora 23)

  13. Red Hat Security Advisory RHSA-2016:0049

  14. Red Hat Security Advisory RHSA-2016:0050

  15. Red Hat Security Advisory RHSA-2016:0053

  16. Red Hat Security Advisory RHSA-2016:0055

  17. Red Hat Security Advisory RHSA-2016:0056

  18. Red Hat Security Advisory RHSA-2016:0057

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.