[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Schwachstelle im OpenJDK Runtime Environment - FEDORA-2010-12759
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-0082 / CVE-2010-0084 / CVE-2010-0085 / CVE-2010-0088 /
CVE-2010-0091 / CVE-2010-0092 / CVE-2010-0093 / CVE-2010-0094 /
CVE-2010-0095 / CVE-2010-0837 / CVE-2010-0838 / CVE-2010-0840 /
CVE-2010-0845 / CVE-2010-0847 / CVE-2010-0848 - Schwachstellen im Java
JRE, JDK und OpenJDK
In der Java Laufzeitumgebung und Entwicklungsumgebung (JRE, JDK und
OpenJDK) sind mehrere Schwachstellen vorhanden, die einem entfernten
Angreifer im schlimmsten Fall die Ausfuehrung beliebiger Befehle mit
den Rechten des Benutzers ermoeglichen. Beispielsweise kann bei der
Bearbeitung von Bild-Dateien in verschiedenen Formaten ein Buffer
Overflow ausgeloest werden. Weiterhin ermoeglichen die Schwachstellen
Java Applets oder Anwendungen Zugriffsbeschraenkungen zu umgehen und
die Privilegien unberechtigt zu erweitern.
CVE-2009-3555 - Designschwaeche im SSLv3/TSLv1 Protokoll bei der
Renegotiation
Bei der Neuaushandlung von Parametern in einer SSL oder TLS Session
(Renegotiation) wird das Client Zertifikat geprueft. Allerdings ist es
aufgrund einer Schwachstelle im TLS-Protokoll unter Umstaenden moeglich,
dass vorher beliebige Daten in die TLS-Session eingeschleust werden. Dies
ermoeglicht Man-in-the-Middle Angriffe auf die TLS-Session. Beim HTTPS
Protokoll kann ein Angreifer so den HTTP-Request des Benutzers faelschen.
Dies kann ein Angreifer dazu ausnutzen, um an vertrauliche Daten zu
gelangen, Operationen mit den Rechten des Benutzers auf dem Server
auszufuehren, dem Benutzer falsche Informationen anzuzeigen.
Diese Schwachstelle wird bereits aktiv von Angreifern ausgenutzt.
RFC 5746 (Transport Layer Security (TLS) Renegotiation Indication
Extension) erweitert das TLS-Protokoll um diese Schwachstelle zu beheben.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket java-1.6.0-openjdk
Fedora 12
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Torsten Voss
- --
Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-12759
2010-08-13 20:19:31
- --------------------------------------------------------------------------------
Name : java-1.6.0-openjdk
Product : Fedora 13
Version : 1.6.0.0
Release : 42.b18.fc13
URL : http://icedtea.classpath.org/
Summary : OpenJDK Runtime Environment
Description :
The OpenJDK runtime environment.
- --------------------------------------------------------------------------------
Update Information:
# S6678385, RH551835: Fixes jvm crashes when window is resized. # Produces the
â??expectedâ?? behavior for full screen applications, when running the Metacity
window manager. # PR453, OJ100142: Fix policy evaluation to match the
proprietary JDK. # IcedTeaNPPlugin. * RH524387:
javax.net.ssl.SSLKeyException: RSA premaster secret error * Set context
classloader for all threads in an appletâ??s threadgroup * PR436: Close all
applet threads on exit * PR480: NPPlugin with NoScript extension. *
PR488: Question mark changing into underscore in URL. * RH592553: Fix bug
causing 100% CPU usage. * Donâ??t generate a random pointer from a pthread_t
in the debug output. * Add ForbiddenTargetException for legacy support.
* Use variadic macro for plugin debug message printing. * Donâ??t link the
plugin with libxul libraries. * Fix race conditions in plugin
initialization code that were causing hangs. * RH506730: BankID (Norwegian
common online banking authentication system) applet fails to load. * PR491:
pass java_{code,codebase,archive} parameters to Java. * Adds
javawebstart.version property and give user permission to read that property.
# NetX: * Fix security flaw in NetX that allows arbitrary unsigned apps
to set any java property. * Fix a flaw that allows unsigned code to access
any file on the machine (accessible to the user) and write to it. * Make
path sanitization consistent; use a blacklisting approach. * Make the
SingleInstanceServer thread a daemon thread. * Handle JNLP files which use
native libraries but do not indicate it * Allow JNLP classloaders to share
native libraries * Added encoding support # PulseAudio: *
Eliminate spurious exception throwing. # Zero/Shark: * PR483: Fix
miscompilation of sun.misc.Unsafe::getByte. * PR324,PR481: Fix Shark VM
crash. * Fix Zero build on Hitachi SH. # SystemTap support: *
PR476: Enable building SystemTap support on GCC 4.5.
- --------------------------------------------------------------------------------
ChangeLog:
* Mon Jul 26 2010 Martin Matejovic <mmatejov@xxxxxxxxxx> -1:1.6.0-42.b18
- - Imports icedtea6-1.8.1
- - Removed: java-1.6.0-openjdk-plugin.patch
- - Resolves: rhbz#616893
- - Resolves: rhbz#616895
* Mon Jun 14 2010 Martin Matejovic <mmatejov@xxxxxxxxxx> -1:1.6.0.-41.b18
- - Fixed plugin update to IcedTeaPlugin.so
- - Fixed plugin cpu usage issue
- - Fixed plugin rewrites ? in URL
- - Added java-1.6.0-openjdk-plugin.patch
- - Resovles: rhbz#598353
- - Resolves: rhbz#592553
- - Resolves: rhbz#602906
* Fri Jun 11 2010 Martin Matejovic <mmatejov@xxxxxxxxxx> - 1:1.6.0-40.b18
- - Rebuild
* Tue Jun 8 2010 Martin Matejovic <mmatejov@xxxxxxxxxx> - 1:1.6.0-39.b18
- - Added icedtea6-1.8
- - Added openjdk b18
- - Added visualvm_122
- - Added netbeans-profiler-visualvm_release68_1.tar.gz
- - Added jdk6-jaf-2009_10_27.zip as SOURCE9
- - Added jdk6-jaxp-2009_10_13.zip as SOURCE10
- - Added jdk6-jaxws-2009_10_27.zip as SOURCE11
- - Added java-1.6.0-openjdk-visualvm-update.patch
- - Removed java-1.6.0-openjdk-securitypatches-20100323.patch
- - Removed java-1.6.0-openjdk-linux-globals.patch
- - Removed java-1.6.0-openjdk-memory-barriers.patch
- - Resolved: rhbz#595191
- - Resovles: rhbz#596850
- - Resolves: rhbz#597134
- - Resolves: rhbz#580432
- --------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update java-1.6.0-openjdk' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkxqbPUACgkQWmhIvjFb90W6DgCgkNvxS5wS1SFlb1qVHB/FiILV
B4AAnie7toNMZD0bwoG1/iMiB7kEhc0Q
=V6hk
-----END PGP SIGNATURE-----