Kurzinfo CB-K16/1615 Update 15

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Oracle Java SE, Java SE Embedded, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme
Datum: 30.11.2016
Software: IBM Java 1.6.0, IBM Java 1.7.0, IBM Java 1.7.1, IBM Java 1.8.0, IBM Java SDK <= 6.0.16.30 Technology, IBM Java SDK <= 6.1.8.30 Technology, IBM Java SDK <= 7.0.9.50 Technology, IBM Java SDK <= 7.1.3.50 Technology, IBM Java SDK <= 8.0.3.11 Technology, Oracle Java SE <= 6u121, Oracle Java SE <= 7u111, Oracle Java SE <= 8u102, Oracle Java SE Embedded <= 8u101, OpenJDK 1.7.0, OpenJDK 1.8.0
Plattform: Apple Mac OS X, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 16.10, Debian Linux 8.6 Jessie, GNU/Linux, HP-UX family of operating systems, IBM AIX, Microsoft Windows , openSUSE 13.2, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Server 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, Oracle Linux 5, Oracle Linux 6, Oracle Linux 7, Oracle Solaris, Red Hat Enterprise Linux Desktop 5 Client, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Desktop Supplementary 5 Client, Red Hat Enterprise Linux Desktop Supplementary 6, Red Hat Enterprise Linux Desktop Supplementary 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux HPC Node 7, Red Hat Enterprise Linux HPC Node 7.2 EUS, Red Hat Enterprise Linux HPC Node Supplementary 6, Red Hat Enterprise Linux HPC Node Supplementary 7, Red Hat Enterprise Linux Server 5, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server 7.2 AUS, Red Hat Enterprise Linux Server 7.2 EUS, Red Hat Enterprise Linux Server 7.3 TUS, Red Hat Enterprise Linux Server Supplementary 5, Red Hat Enterprise Linux Server Supplementary 6, Red Hat Enterprise Linux Server Supplementary 7, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Enterprise Linux Workstation Supplementary 6, Red Hat Enterprise Linux Workstation Supplementary 7, Red Hat Fedora 24, Red Hat Fedora 25
Auswirkung: Erlangen von Administratorrechten
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2016-5542, CVE-2016-5554, CVE-2016-5556, CVE-2016-5568, CVE-2016-5573, CVE-2016-5582, CVE-2016-5597
Bezug: Oracle Critical Patch Update Advisory - Oktober 2016 - CPUOct2016 - Java SE
Revisions Historie
  • Version: 17

    Für die SUSE Linux Enterprise Produkte Desktop und Server in Version 12 SP1 und SP2 sowie Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates für 'java-1_7_0-openjdk' auf Version 7u121 bereit.

  • Version: 16

    IBM informiert darüber, dass das IBM® SDK, Java™ Technology Edition von den mit Oracle October 2016 Critical Patch Update veröffentlichten Schwachstellen in Java SE betroffen ist und stellt Version 6 Service Refresh 16 Fix Pack 35, Version 6R1 Service Refresh 8 Fix Pack 35, Version 7 Service Refresh 9 Fix Pack 60, Version 7R1 Service Refresh 3 Fix Pack 60 und Version 8 Service Refresh 3 Fix Pack 20 als Sicherheitsupdates bereit. CVE-2016-5582 betrifft IBM SDK, Java Technology Edition nur auf Solaris, HP-UX und Mac OS X.

  • Version: 15

    Für die SUSE Linux Enterprise Produkte Desktop und Server in Version 12 SP1 und SP2 sowie Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version 8u111 bereit. Und für openSUSE 13.2 steht für die Entwicklungsumgebung 'java-1_7_0-openjdk' ein Sicherheitsupdate auf Version 7u121 zur Verfügung.

  • Version: 14

    Für die Distribution openSUSE 13.2 steht ein Sicherheitsupdate für die Entwicklungsumgebung 'java-1_8_0-openjdk' auf Version 8u111 bereit.

  • Version: 13

    Für die Distribution Ubuntu 14.04 LTS steht ein Sicherheitsupdate für OpenJDK 7 zur Behebung der Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582 und CVE-2016-5597 zur Verfügung.

  • Version: 12

    Über ELSA-2016-2658 stehen jetzt auch die entsprechenden Sicherheitsupdates für OpenJDK 1.7.0 in Oracle Linux 7 zur Verfügung.

  • Version: 11

    Oracle veröffentlicht für Oracle Linux 5 und 6 Sicherheitsupdates für OpenJDK 1.7.0, um die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582 und CVE-2016-5597 zu beheben.

  • Version: 10

    Debian stellt für die stabile Distribution Jessie ein Sicherheitsupdate für OpenJDK 7 bereit und adressiert damit die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582 und CVE-2016-5597.

  • Version: 9

    Red Hat veröffentlicht für die Red Hat Enterprise Linux 5, 6 und 7 Produkte Desktop, HPC Node, Server und Workstation Sicherheitsupdates für OpenJDK 7, um die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582 und CVE-2016-5597 zu beheben.

  • Version: 8

    Red Hat veröffentlicht für die Red Hat Enterprise Linux Supplementary Produkte Desktop Client 5, Desktop 6, Server 5 und 6, HPC Node 6 sowie Workstation 6 Sicherheitsupdates für IBM Java 1.6.0, um die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5556, CVE-2016-5573 und CVE-2016-5597 zu beheben.

  • Version: 7

    Canonical veröffentlicht für die Distributionen Ubuntu 16.10 und Ubuntu 16.04 LTS Sicherheitsupdates für OpenJDK 8, welche die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582 und CVE-2016-5597 beheben.

  • Version: 6

    Red Hat veröffentlicht für RHEL Desktop Supplementary 5 Client und RHEL Supplementary 5 Server Sicherheitsupdates für IBM Java SE 7 auf Version 7 SR9-FP60 sowie für die Red Hat Enterprise Linux Supplementary Produkte Desktop, HPC Node, Server und Workstation in den Versionen 6 und 7 für IBM Java SE 7 Release 1 auf Version 7R1 SR3-FP60 und für IBM Java SE 8 auf Version 8 SR3-FP20, um die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5556, CVE-2016-5573 und CVE-2016-5597 zu beheben. IBM Java SE beinhaltet jeweils das IBM Java Runtime Environment (JRE) und das IBM Java Software Development Kit (SDK).

  • Version: 5

    Für Fedora 24 und 25 stehen Updates für OpenJDK 1.8.0 in Form der Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.102-7.160812.fc24' und 'java-1.8.0-openjdk-aarch32-1.8.0.102-7.160812.fc25' im Status 'testing' zur Verfügung, welche die Sicherheitsupdates aus dem 'Oracle October 2016 Critical Patch Update' beinhalten.

  • Version: 4

    Red Hat veröffentlicht für die Red Hat Enterprise Linux 5, 6 und 7 Produkte Desktop, HPC Node, Server und Workstation Sicherheitsupdates für Oracle Java SE 6 auf Version 6 Update 131, Oracle Java SE 7 auf Version 7 Update 121 und Oracle Java SE 8 auf Version 8 Update 111, um die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5556, CVE-2016-5573, CVE-2016-5582 und CVE-2016-5597 zu beheben. Oracle Java SE beinhaltet jeweils das Oracle Java Runtime Environment (JRE) und das Oracle Java Software Development Kit (SDK).

  • Version: 3

    Analog zu Red Hat veröffentlicht Oracle für die Distributionen Oracle Linux 6 und 7 Sicherheitsupdates für OpenJDK 8, die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582 und CVE-2016-5597 beheben.

  • Version: 2

    Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop, HPC Node, Server und Workstation sowie HPC Node EUS 7.2, Server AUS 7.2 und Server EUS 7.2 Sicherheitsupdates für OpenJDK 8, durch welche die Schwachstellen CVE-2016-5542, CVE-2016-5554, CVE-2016-5573, CVE-2016-5582 und CVE-2016-5597 adressiert werden.

  • Version: 1

    Neues Advisory

Beschreibung

IBM Java ist eine von der Firma IBM gepflegte Version von Java basierend auf Oracle Java.

Das IBM Java SDK wird von IBM für die eigenen Betriebssysteme ( AIX, i5/OS, z/OS ) sowie für Linux angeboten und gepflegt. Die Java Version basiert auf Oracle Java.

Die Java Platform Standard Edition (Java SE) ist eine plattformübergreifende Umgebung für Anwendungen, die auf vielen Geräten laufen sollen.

Oracle Java SE Embedded ist eine Version von Oracle, die speziell auf den Einsatz in Embedded-Systemen ausgelegt ist.

OpenJDK (Java Development Kit) als OpenSource-Variante zum Oracle JDK bietet Entwicklern neben der Java-Laufzeitumgebung (Runtime Environment, JRE) weitere Tools für Entwicklung, Debugging und Monitoring.

Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE und Java SE Embedded ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme, die Manipulation von Dateien und das Ausspähen von Informationen. Die Schwachstellen betreffen Client-Installationen, die auf die Java Sandbox als Sicherheit zurückgreifen. Für die erfolgreiche Ausnutzung der Schwachstellen ist eine nicht näher spezifizierte Benutzerinteraktion einer anderen Person als der des Angreifers erforderlich. Die Schwachstelle CVE-2016-5597 (Ausspähen von Informationen) kann ohne Benutzerinteraktion ausgenutzt werden. Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 8 zum Download zur Verfügung, aktuelle Versionen von Java SE 6 und 7 sind nur noch auf Anfrage verfügbar. Benutzern von Microsoft Windows und Mac OS X werden die entsprechenden Sicherheitsupdates über die automatischen Systemupdates zur Verfügung gestellt.

  1. Oracle Critical Patch Update Advisory - Oktober 2016 - CPUOct2016 - Java SE

  2. Red Hat Security Advisory RHSA-2016:2079

  3. Oracle CPUOct2016 Risk Matrix - Java SE

  4. Schwachstelle CVE-2016-5542 (NVD)

  5. Schwachstelle CVE-2016-5554 (NVD)

  6. Schwachstelle CVE-2016-5556 (NVD)

  7. Schwachstelle CVE-2016-5568 (NVD)

  8. Schwachstelle CVE-2016-5573 (NVD)

  9. Schwachstelle CVE-2016-5582 (NVD)

  10. Schwachstelle CVE-2016-5597 (NVD)

  11. Oracle Linux Security Advisory ELSA-2016-2079 (OpenJDK 1.8.0)

  12. Red Hat Security Advisory RHSA-2016:2088

  13. Red Hat Security Advisory RHSA-2016:2089

  14. Red Hat Security Advisory RHSA-2016:2090

  15. Fedora Security Update FEDORA-2016-55ec95ac45 (Fedora 25, java-1.8.0-openjdk-aarch32-1.8.0.102-7.160812.fc25)

  16. Fedora Security Update FEDORA-2016-73054cfeeb (Fedora 24, java-1.8.0-openjdk-aarch32-1.8.0.102-7.160812.fc24)

  17. Red Hat Security Advisory RHSA-2016:2136

  18. Red Hat Security Advisory RHSA-2016:2137

  19. Red Hat Security Advisory RHSA-2016:2138

  20. Ubuntu Security Notice USN-3121-1

  21. Red Hat Security Advisory RHSA-2016:2658

  22. Red Hat Security Advisory RHSA-2016:2659

  23. Debian Security Advisory DSA-3707-1

  24. Oracle Linux Security Advisory ELSA-2016-2658 (OpenJDK 1.7.0)

  25. Ubuntu Security Notice USN-3130-1

  26. openSUSE Security Update openSUSE-SU-2016:2862-1

  27. SUSE Security Update SUSE-SU-2016:2887-1

  28. openSUSE Security Update openSUSE-SU-2016:2900-1

  29. IBM Security Bulletin swg21985393

  30. IBM Security Bulletin: Multiple vulnerabilities may affect IBM® SDK, Java™ Technology Edition

  31. SUSE Security Update SUSE-SU-2016:2953-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.