DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-0088: Oracle Java SE, Java SE Embedded, JRockit, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme

Historie

Version 1 (2017-01-18 12:39)
Neues Advisory
Version 2 (2017-01-20 10:09)
Für Oracle Java for Red Hat Enterprise Linux 6 und Oracle Java for Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für Oracle Java SE 8 auf Version 8 Update 121 zur Verfügung, um die relevanten Schwachstellen zu beheben. Für diese und zusätzlich Oracle Java for RHEL 5 Server und Oracle Java for RHEL Desktop 5 Client) werden zudem Oracle Java SE 7 auf Version 7 Update 131 und Oracle Java SE 6 auf Version 6 Update 141 aktualisiert. Oracle Java SE beinhaltet jeweils das Oracle Java Runtime Environment und das Oracle Java Software Development Kit.
Version 3 (2017-01-20 14:37)
Für die Red Hat Enterprise Linux-Produkte Desktop 6 und 7, HPC Node 6 und 7, Server 6, 7 und 7.3 TUS sowie Workstation 6 und 7 stehen Sicherheitsupdates für 'java-1.8.0-openjdk' bereit.
Version 4 (2017-01-23 10:06)
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun ebenfalls Sicherheitsupdates für 'java-1.8.0-openjdk' zur Verfügung.
Version 5 (2017-01-26 10:18)
Für die Distributionen Ubuntu 16.10 und Ubuntu 16.04 LTS stehen Sicherheitsupdates für OpenJDK 8 bereit.
Version 6 (2017-02-01 10:04)
Für SUSE Linux Enterprise Server 12 SP1 und SP2, für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 sowie für SUSE Linux Enterprise Desktop 12 SP1 und SP2 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit.
Version 7 (2017-02-02 08:39)
Für Fedora 24 und 25 stehen aktualisierte Pakete für 'java-1.8.0-openjdk-aarch32' im Status 'testing' bereit, um die entsprechenden Schwachstellen zu beheben.
Version 8 (2017-02-03 13:02)
Für openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version jdk8u121 (icedtea 3.3.0) bereit, durch welche die mit Oracle Critical Patch Update of January 2017 adressierten Schwachstellen behoben werden.
Version 9 (2017-02-09 10:45)
Für die Distributionen Debian Jessie (stable, 8.7) und Ubuntu 14.04 LTS stehen Sicherheitsupdates für OpenJDK 7 zur Verfügung. Beide Sicherheitsupdates referenzieren die Schwachstellen CVE-2016-5549, CVE-2016-8328, CVE-2017-3259 und CVE-2017-3262 nicht, von Debian wird außerdem die Schwachstelle CVE-2016-2183 nicht aufgeführt und in dem Canonical Update ist die Schwachstelle CVE-2017-3260 nicht enthalten.
Version 10 (2017-02-09 15:21)
Red Hat stellt für verschiedene Produktvarianten von Red Hat Enterprise Linux 6 Supplementary und Red Hat Enterprise Linux 7 Supplementary Sicherheitsupdates für 'java-1.8.0-ibm' zur Verfügung, mit denen IBM Java SE 8 auf Version 8 SR4 aktualisiert wird. IBM Java SE Version 8 beinhaltet das IBM Java Runtime Environment und das IBM Java Software Development Kit.
Version 11 (2017-02-13 11:05)
Red Hat stellt für verschiedene Produktvarianten von Red Hat Enterprise Linux 5, 6 und 7 Sicherheitsupdates für 'java-1.7.0-openjdk' zur Verfügung. 'java-1.7.0-openjdk' beinhaltet das OpenJDK 7 Java Runtime Environment und das OpenJDK 7 Java Software Development Kit.
Version 12 (2017-02-14 10:19)
Oracle stellt für Oracle Linux 5 (i386, x86_64), Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) 'java-1.7.0-openjdk' als Sicherheitsupdate zur Verfügung. In den Sicherheitsupdates werden die Schwachstellen CVE-2016-2183, CVE-2016-5549, CVE-2016-8328, CVE-2017-3259, CVE-2017-3260 und CVE-2017-3262 nicht referenziert.
Version 13 (2017-02-15 09:32)
Für SUSE Linux Enterprise Server 12 SP1 und SP2 sowie SUSE Linux Enterprise Software Development Kit 12 SP1 und SP2 stehen Sicherheitsupdates für 'java-1_8_0-ibm' auf Version 8.0-4.0 bereit, um die Schwachstellen zu beheben. Die Schwachstellen CVE-2016-5546, CVE-2016-8328, CVE-2017-3260 und CVE-2017-3262 werden hier nicht erwähnt.
Version 14 (2017-02-16 09:20)
Canonical stellt für die Distribution Ubuntu 12.04 LTS ein Sicherheitsupdate für OpenJDK 6 zur Verfügung, um die entsprechenden Schwachstellen zu beheben.
Version 15 (2017-02-17 15:50)
Für SUSE Linux Enterprise Desktop und Server in den Versionen 12 SP1 und 12 SP2 sowie für Server 12 LTSS, Server for SAP 12 und Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates für 'java-1_7_0-openjdk' auf OpenJDK 7u131 bereit.
Version 16 (2017-02-20 10:25)
Für openSUSE Leap 42.2 und openSUSE Leap 42.1 stehen nun ebenfalls Sicherheitsupdates für 'java-1_7_0-openjdk' auf OpenJDK 7u131 zur Verfügung.
Version 17 (2017-02-24 17:39)
IBM informiert darüber, dass die mit dem Oracle January 2017 Critical Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Edition, in den Versionen 6, 6R1, 7, 7R1 und 8 betreffen, und stellt Version 6 Service Refresh 16 Fix Pack 41, Version 6R1 Service Refresh 8 Fix Pack 41, Version 7 Service Refresh 10 Fix Pack 1, Version 7R1 Service Refresh 4 Fix Pack 1 sowie die Version 8 Service Refresh 4 Fix Pack 1 als Sicherheitsupdates bereit.
Version 18 (2017-02-28 10:33)
Für die Red Hat Enterprise Linux Supplementary Produkte Desktop, HPC Node, Server und Workstation in Version 5, 6 und 7 stehen Sicherheitsupdates bereit. Das Update für 'java-1.6.0-ibm' aktualisiert IBM Java SE 6 auf Version 6 SR16-FP41, das Update für 'java-1.7.0-ibm' aktualisiert IBM Java SE 7 auf Version 7 SR10-FP1 und das Update für 'java-1.7.1-ibm' aktualisiert IBM Java SE 7 auf Version 7R1 SR4-FP1. Die Sicherheitsupdates beheben die referenzierten Schwachstellen mit Ausnahme von CVE-2016-8328, CVE-2017-3260 und CVE-2017-3262, die teilweise nur Java SE 8 betreffen. Das Sicherheitsupdate für 'java-1.6.0-ibm' adressiert darüber hinaus nicht die Schwachstellen CVE-2016-5547 und CVE-2017-3289.
Version 19 (2017-03-08 13:56)
Für die Red Hat Enterprise Linux Supplementary Produkte Desktop, HPC Node, Server und Workstation in Version 6 und 7 stehen Sicherheitsupdates bereit. Das Update für 'java-1.8.0-ibm' aktualisiert IBM Java SE 8 auf Version 8 SR4 FP1. Dieses Sicherheitsupdate adressiert erneut die Schwachstelle CVE-2016-2183. IBM Java SE Version 8 beinhaltet das IBM Java Runtime Environment und das IBM Java Software Development Kit.
Version 20 (2017-05-02 11:25)
IBM informiert darüber, dass die als Teil des Oracle IBM Java SDK Updates im Januar 2017 veröffentlichten Schwachstellen auch das IBM Runtime Environment Java™ betreffen, welches in IBM Spectrum Protect (früher: Tivoli Storage Manager) Operations Center und IBM Spectrum Protect (früher: Tivoli Storage Manager) Client Management Service enthalten ist, so dass diese Produkte in den unterstützten Versionen 6.4.0.000 - 6.4.2.500, 7.1.0.000 - 7.1.7.100 und 8.1.0.000 - 8.1.1.000 bzw. 7.1.0.000 - 7.1.7.000 und 8.1.0.000 - 8.1.1.000 ebenfalls verwundbar sind. Die Schwachstelle CVE-2016-5597 wurde schon mit den Oracle IBM Java SDK Updates im Oktober 2016 adressiert, während die Schwachstellen CVE-2016-8328 und CVE-2017-3262 hier nicht genannt werden.

IBM stellt die IBM Spectrum Protect Operations Center Versionen 6.4.2.600, 7.1.7.200 und 8.1.1.100 sowie die IBM Spectrum Protect Client Management Service Versionen 7.1.7.100 und 8.1.1.100 als Sicherheitsupdates für AIX, Linux und Windows bereit und gibt Hinweise zur Installation.
Version 21 (2017-05-24 17:18)
 IBM informiert darüber, dass die als Teil des IBM Java SDK Updates im Februar 2017 veröffentlichten und in Version 6 SR16FP41 und Version 8 SR4FP1 behobenen Schwachstellen auch IBM Notes und IBM Domino betreffen. Die Schwachstellen CVE-2016-8328 und CVE-2017-3262 werden hier nicht genannt. IBM hat verschiedene Interim Fixes und JVM Patches für 8.5.3 Fix Pack 6 Versionen und 9.0.1.x Versionen von IBM Notes, Domino und iNotes als Sicherheitsupdates für AIX, Linux und Windows bereitgestellt und gibt Hinweise zur Installation.

Betroffene Software

IBM Java 1.6.0
IBM Java 1.7.0
IBM Java 1.7.1
IBM Java 1.8.0
IBM Java SDK <= 6.0.16.35 Technology
IBM Java SDK <= 6.1.8.35 Technology
IBM Java SDK <= 7.0.9.60 Technology
IBM Java SDK <= 7.1.3.60 Technology
IBM Java SDK <= 8.0.3.22 Technology
IBM Domino <= 8.5.3.6
IBM Domino <= 9.0.1.8
IBM iNotes <= 8.5.3.6
IBM iNotes <= 9.0.1.8
IBM Notes <= 8.5.3.6
IBM Notes <= 9.0.1.8
IBM Tivoli Storage Manager < 6.4.2.600
IBM Tivoli Storage Manager < 7.1.7.100
IBM Tivoli Storage Manager < 7.1.7.200
IBM Tivoli Storage Manager < 8.1.1.100
SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Software Development Kit 12 SP2
Oracle Java SE <= 6u131
Oracle Java SE <= 7u121
Oracle Java SE <= 8u112
Oracle Java SE Embedded <= 8u111
Oracle JRockit <= R28.3.12
OpenJDK 1.6.0
OpenJDK 1.7.0
OpenJDK 1.8.0

Betroffene Plattformen

Apple Mac OS X
macOS Sierra
Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Debian Linux 8.7 Jessie
GNU/Linux
HP-UX
IBM AIX
Microsoft Windows
openSUSE Leap 42.1
openSUSE Leap 42.2
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
Oracle Linux 5
Oracle Linux 6
Oracle Linux 7
Oracle Solaris
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Desktop Supplementary 5
Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Enterprise Linux Desktop Supplementary 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux HPC Node Supplementary 6
Red Hat Enterprise Linux HPC Node Supplementary 7
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Server Supplementary 5
Red Hat Enterprise Linux Server Supplementary 6
Red Hat Enterprise Linux Server Supplementary 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Enterprise Linux Workstation Supplementary 6
Red Hat Enterprise Linux Workstation Supplementary 7
Red Hat Fedora 24
Red Hat Fedora 25

Lösung

Patch

Oracle Critical Patch Update Advisory - Januar 2017 - CPUJan2017 - Java SE

Patch

Red Hat Security Advisory RHSA-2017:0175

Patch

Red Hat Security Advisory RHSA-2017:0176

Patch

Red Hat Security Advisory RHSA-2017:0177

Patch

Red Hat Security Advisory RHSA-2017:0180-1

Patch

Oracle Linux Security Advisory ELSA-2017-0180

Patch

Ubuntu Security Notice USN-3179-1

Patch

Fedora Security Update FEDORA-2017-4cb58f0bda (Fedora 24, java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc24)

Patch

Fedora Security Update FEDORA-2017-c1252ccd41 (Fedora 25, java-1.8.0-openjdk-aarch32-1.8.0.112-3.161109.fc25)

Patch

SUSE Security Update SUSE-SU-2017:0346-1

Patch

openSUSE Security Update openSUSE-SU-2017:0374-1

Patch

Debian Security Advisory DSA-3782-1

Patch

Red Hat Security Advisory RHSA-2017:0263

Patch

Ubuntu Security Notice USN-3194-1

Patch

Red Hat Security Advisory RHSA-2017:0269

Patch

Oracle Linux Security Advisory ELSA-2017-0269

Patch

SUSE Security Update SUSE-SU-2017:0460-1

Patch

Ubuntu Security Notice USN-3198-1

Patch

SUSE Security Update SUSE-SU-2017:0490-1

Patch

openSUSE Security Update openSUSE-SU-2017:0513-1

Patch

IBM Security Bulletin swg21997194

Patch

Red Hat Security Advisory RHSA-2017:0336-1

Patch

Red Hat Security Advisory RHSA-2017:0337-1

Patch

Red Hat Security Advisory RHSA-2017:0338-1

Patch

Red Hat Security Advisory RHSA-2017:0462

Patch

IBM Security Bulletin 2002479

Patch

IBM Security Bulletin 2000516

Patch

IBM Security Bulletin 2000602

Beschreibung

Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das Ausspähen von Informationen und verschiedene Denial-of-Service-Angriffe. Die Schwachstellen betreffen meist Client-, aber auch Server-Installationen, die auf die Java Sandbox als Sicherheit zurückgreifen und können zum Teil über Programmschnittstellen (APIs) der betroffenen Subkomponenten ausgenutzt werden. Zwei der Schwachstellen betreffen die Installation der Java Mission Control. Für die erfolgreiche Ausnutzung der Schwachstellen ist teilweise eine nicht näher spezifizierte Benutzerinteraktion einer anderen Person als der des Angreifers erforderlich.

Die Schwachstelle CVE-2016-2183 in SSL/TLS betrifft Java SE und Java SE Embedded und ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 8 zum Download zur Verfügung, aktuelle Versionen von Java SE 6 nach April 2013 und Java SE 7 nach April 2015 sind nur noch auf Anfrage verfügbar. Benutzern von Microsoft Windows und Mac OS X bzw. macOS Sierra werden die entsprechenden Sicherheitsupdates über die automatischen Systemupdates zur Verfügung gestellt.

Oracle weist darüber hinaus darauf hin, dass beginnend mit dem kritischen Patch Update im April 2017 Archivdateien vom Typ 'JAR', die mit MD5 signiert sind, vom Java Runtime Environment (JRE) als unsigniert angesehen werden und dass Oracle JRockit JVM mittlerweile in die Oracle Fusion Middleware integriert ist.

Schwachstellen

CVE-2017-3289: Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Kompromittierung des Systems

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java SE und Java SE Embedded (Subkomponente Hotspot) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Übernahme von Java SE sowie Java SE Embedded und in der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der Schwachstelle ist die Interaktion eines Benutzers notwendig.

CVE-2017-3272: Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Kompromittierung des Systems

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java SE und Java SE Embedded (Subkomponente Libraries) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Übernahme von Java SE sowie Java SE Embedded und in der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der Schwachstelle ist die Interaktion eines Benutzers notwendig.

CVE-2017-3262: Schwachstelle in Java SE ermöglicht Ausspähen von Informationen

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java SE (Subkomponente Java Mission Control) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff auf einige der von Java SE erreichbaren Daten.

CVE-2017-3260: Schwachstelle in Java SE ermöglicht komplette Kompromittierung des Systems

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java SE (Subkomponente AWT) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Übernahme von Java SE und in der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der Schwachstelle ist die Interaktion eines Benutzers notwendig.

CVE-2017-3259: Schwachstelle in Java SE ermöglicht Ausspähen von Informationen

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java SE (Subkomponente Deployment) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff auf einige der von Java SE erreichbaren Daten.

CVE-2017-3253: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java SE, Java SE Embedded und JRockit (Subkomponente 2D) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Kompromittierung von Java SE, Java SE Embedded und JRockit durch die wiederholte Erzeugung eines Denial-of-Service-Zustands.

CVE-2017-3252: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Dateien

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java SE, Java SE Embedded und JRockit (Subkomponente JAAS) ermöglicht einem entfernten, einfach authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Manipulation aller von Java SE, Java SE Embedded und JRockit erreichbaren Daten. Zur Ausnutzung der Schwachstelle ist die Interaktion eines Benutzers notwendig.

CVE-2017-3241: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Kompromittierung des Systems

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java SE, Java SE Embedded und JRockit (Subkomponente RMI) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Übernahme von Java SE, Java SE Embedded sowie JRockit und in der Folge die komplette Kompromittierung des Systems.

CVE-2017-3231 CVE-2017-3261: Schwachstellen in Java SE und Java SE Embedded ermöglichen Ausspähen von Informationen

Zwei nicht näher spezifizierte, leicht auszunutzende Schwachstellen in Java SE und Java SE Embedded (Subkomponente Networking) ermöglichen einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle den Zugriff auf einige der von Java SE und Java SE Embedded erreichbaren Daten. Zur erfolgreichen Ausnutzung ist die Interaktion eines Benutzers erforderlich.

CVE-2016-8328: Schwachstelle in Java SE ermöglicht Manipulation von Dateien

Eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in Java SE (Subkomponente Java Mission Control) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Manipulation einiger der von Java SE erreichbaren Daten.

CVE-2016-5552: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Dateien

Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java SE, Java SE Embedded und JRockit (Subkomponente Networking) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Manipulation einiger der von Java SE, Java SE Embedded und JRockit erreichbaren Daten. Im Kontext von Android Geräten erlaubt diese Schwachstelle das Weiterleiten eines Anwenders beim Browsen auf eine andere Webseite ohne dessen explizite Zustimmung.

CVE-2016-5548 CVE-2016-5549: Schwachstellen in Java SE und Java SE Embedded ermöglichen Ausspähen von Informationen

Zwei nicht näher spezifizierte, einfach auszunutzende Schwachstellen in Java SE und Java SE Embedded (Subkomponente Libraries) ermöglichen einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle den unautorisierten Zugriff auf kritische Daten oder den Zugriff auf alle von Java SE und Java SE Embedded erreichbaren Daten. Zur Ausnutzung der Schwachstellen ist die Interaktion eines Benutzers notwendig.

CVE-2016-5547: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java SE, Java SE Embedded und JRockit (Subkomponente Libraries) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Kompromittierung von Java SE, Java SE Embedded und JRockit durch das Bewirken eines partiellen Denial-of-Service-Zustands.

CVE-2016-5546: Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Dateien

Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java SE, Java SE Embedded und JRockit (Subkomponente Libraries) ermöglicht einem entfernten, nicht authentifizierten Angreifer über verschiedene Netzwerkprotokolle die Manipulation aller von Java SE, Java SE Embedded und JRockit erreichbaren Daten.

CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter anderem den 'Triple-DES'-Kryptoalgorithmus nutzen, der gegen den sogenannten Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die Schwachstelle ist aufgrund der Art und Weise wie Browser Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil diese zwischen einem Webdienst und dem Browser wiederholt hin und her geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den Inhalt des Session Cookies zu enthüllen. Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und infolgedessen Informationen ausspähen.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft diese Schwachstelle unter anderem die API Gateway Komponente der Oracle Fusion Middleware.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.