Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2017-0661 [1.16]

Meerdere kwetsbaarheden verholpen in Oracle Java SE

11-10-2017 - Oracle heeft updates uitgebracht voor Oracle Java SE.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.16 #############################

Titel           : Meerdere kwetsbaarheden verholpen in Oracle Java SE
Advisory ID     : NCSC-2017-0661
Versie          : 1.16
Kans            : medium
CVE ID          : CVE-2017-1376, CVE-2017-1541, CVE-2017-10053,
                  CVE-2017-10067, CVE-2017-10074, CVE-2017-10078,
                  CVE-2017-10081, CVE-2017-10086, CVE-2017-10087,
                  CVE-2017-10089, CVE-2017-10090, CVE-2017-10096,
                  CVE-2017-10101, CVE-2017-10102, CVE-2017-10104,
                  CVE-2017-10105, CVE-2017-10107, CVE-2017-10108,
                  CVE-2017-10109, CVE-2017-10110, CVE-2017-10111,
                  CVE-2017-10114, CVE-2017-10115, CVE-2017-10116,
                  CVE-2017-10117, CVE-2017-10118, CVE-2017-10121,
                  CVE-2017-10125, CVE-2017-10135, CVE-2017-10145,
                  CVE-2017-10150, CVE-2017-10176, CVE-2017-10193,
                  CVE-2017-10198, CVE-2017-10243
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20171011
Toepassing      : IBM Lotus Notes
                  IBM Spectrum Protect (IBM Tivoli Network Storage
                  Manager)
                  IBM WebSphere Application Server
                  IBM Websphere Portal
                  Oracle Java
Versie(s)       : 
Platform(s)     : Linux
                  IBM AIX

Update
   IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
   IBM Spectrum Protect (voormalig Tivoli Storage Manager). Zie
   "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Oracle heeft updates uitgebracht voor Oracle Java SE.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om
   toegang te verkrijgen tot gevoelige informatie of voor het uitvoeren
   van willekeurige code.

Beschrijving
   Oracle heeft met de Critical Patch Update (CPU) van juli 2017
   diverse kwetsbaarheden in Oracle-producten verholpen. Onderstaande
   tabel beschrijft de kwetsbaarheden die zijn verholpen op basis van
   het component, het CVE-ID en de CVSS-score.
   
   -----------------------------------------------------
   | Component                 | CVE-ID         | CVSS |
   -----------------------------------------------------
   | IBM J9 VM Class verifier  | CVE-2017-1376  |  9.8 | 
   | AWT                       | CVE-2017-10110 |  9.6 | 
   | ImageIO                   | CVE-2017-10089 |  9.6 |
   | JavaFX                    | CVE-2017-10086 |  9.6 |
   | JAXP                      | CVE-2017-10096 |  9.6 |
   | JAXP                      | CVE-2017-10101 |  9.6 |
   | Libraries                 | CVE-2017-10087 |  9.6 |
   | Libraries                 | CVE-2017-10090 |  9.6 |
   | Libraries                 | CVE-2017-10111 |  9.6 |
   | RMI                       | CVE-2017-10107 |  9.6 |
   | RMI                       | CVE-2017-10102 |  9.0 | 
   | JavaFX                    | CVE-2017-10114 |  8.3 |
   | Hotspot                   | CVE-2017-10074 |  8.3 |
   | Security                  | CVE-2017-10116 |  8.3 |
   | Scripting                 | CVE-2017-10078 |  8.1 |
   | Security                  | CVE-2017-10067 |  7.5 |
   | JCE                       | CVE-2017-10115 |  7.5 |
   | JCE                       | CVE-2017-10118 |  7.5 |
   | Security                  | CVE-2017-10176 |  7.5 |
   | IBM AIX                   | CVE-2017-1541  |  7.3 |
   | Server                    | CVE-2017-10104 |  7.4 |
   | Server                    | CVE-2017-10145 |  7.4 |
   | Deployment                | CVE-2017-10125 |  7.1 |
   | Security                  | CVE-2017-10198 |  6.8 |
   | JAX-WS                    | CVE-2017-10243 |  6.5 |
   | Server                    | CVE-2017-10121 |  6.1 |
   | JCE                       | CVE-2017-10135 |  5.9 |
   | Server                    | CVE-2017-10117 |  5.3 |
   | 2D                        | CVE-2017-10053 |  5.3 |
   | Serialization             | CVE-2017-10108 |  5.3 |
   | Serialization             | CVE-2017-10109 |  5.3 |
   | Deployment                | CVE-2017-10105 |  4.3 |
   | Hotspot                   | CVE-2017-10081 |  4.3 |
   | Security                  | CVE-2017-10193 |  3.1 |
   -----------------------------------------------------

Mogelijke oplossingen
   Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
   U kunt de updates downloaden vanaf de website van Oracle. Zie voor
   meer informatie:
   
   http://www.oracle.com/technetwork/security-advisory
      /cpujul2017-3236622.html
   
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 6 en 7 om de
   kwetsbaarheden te verhelpen. U kunt deze updates installeren met
   behulp van het commando 'yum'. Voor meer informatie en een eventueel
   handmatige installatie, zie:
   
   CentOS 6:
   https://access.redhat.com/errata/RHSA-2017:1789
   
   CentOS 7:
   https://access.redhat.com/errata/RHSA-2017:1789
   
   -= Debian =-
   Debian heeft updates van openjdk-8 beschikbaar gesteld voor Debian
   9.0 (Stretch) om de kwetsbaarheden te verhelpen.  Meer informatie
   kunt u vinden op onderstaande pagina:
   
   https://www.debian.org/security/2017/dsa-3919
   
   Debian heeft updates van openjdk-7 beschikbaar gesteld voor Debian
   8.0 (Jessie) om de kwetsbaarheden te verhelpen.  Meer informatie
   kunt u vinden op onderstaande pagina:
   
   https://www.debian.org/security/2017/dsa-3954
   
   U kunt de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'.
   
   -= Fedora =-
   Fedora heeft updates van java-1.8.0-openjdk beschikbaar gesteld voor
   Fedora 24, 25 en 26. U kunt deze updates installeren met behulp van
   het commando 'dnf' of 'yum'. Meer informatie over deze updates en
   over een eventueel handmatige installatie vindt u op:
   
   Fedora 24:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /O4EQQXDC2MA5H6JC2K4VRKTCXDG322B4/
   
   Fedora 25:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /OQEWCSB2RTHNS2BLPYCEUMQEXBHOUDIH/
   
   Fedora 26:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /UACO4MQ56V3GNKWTI3XFHL5XK3KMETMS/
   
   -= IBM =-
   IBM heeft updates uitgebracht voor IBM Websphere Application Server
   om de kwetsbaarheden met kenmerk CVE-2017-10116, CVE-2017-10115 en
   CVE-2017-10107 te verhelpen. Zie onderstaande link voor informatie
   en update-instructies:
   
   http://www.ibm.com/support/docview.wss?uid=swg22007002
   
   IBM heeft updates uitgebracht voor IBM WebSphere Portal om de
   kwetsbaarheden met kenmerk CVE-2017-10116, CVE-2017-10115,
   CVE-2017-10102 en CVE-2017-10053 te verhelpen.  Zie onderstaande
   link voor informatie en update-instructies:
   
   http://www-01.ibm.com/support/docview.wss?uid=swg22006996
   
   IBM heeft updates uitgebracht voor IBM AIX om de kwetsbaarheden te
   verhelpen. Zie onderstaande link voor informatie en
   update-instructies:
   
   https://www.ibm.com/blogs/psirt/ibm-security-bulletin-2/
   
   IBM heeft updates uitgebracht voor IBM (Lotus) Notes om de
   kwetsbaarheden met kenmerk CVE-2017-10110, CVE-2017-10107,
   CVE-2017-10101, CVE-2017-10096, CVE-2017-10090, CVE-2017-10089,
   CVE-2017-10087, CVE-2017-10102, CVE-2017-10116, CVE-2017-10078,
   CVE-2017-10115, CVE-2017-10067, CVE-2017-10125, CVE-2017-10243,
   CVE-2017-10109, CVE-2017-10108, CVE-2017-10053, CVE-2017-10105,
   CVE-2017-10111, CVE-2017-10074 en CVE-2017-10081 te verhelpen. Zie
   onderstaande link voor informatie en update-instructies:
   
   http://www-01.ibm.com/support/docview.wss?uid=swg22009253
   
   IBM heeft updates uitgebracht voor IBM Spectrum Protect (voormalig
   Tivoli Storage Manager) om de kwetsbaarheden te verhelpen. Zie
   onderstaande link voor informatie en update-instructies:
   
   https://www.ibm.com/blogs/psirt
      /ibm-security-bulletin-multiple-vulnerabilities-in-ibm-java-runti
      me-affect-ibm-spectrum-protect-formerly-tivoli-storage-manager-op
      erations-center-and-client-management-services-cve-2017-10115-cve
      /
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheden te verhelpen in OpenSUSE Leap 42.2 en 42.3. U kunt
   deze aangepaste packages installeren door gebruik te maken van
   'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
   downloaden van de OpenSUSE downloadserver (download.opensuse.org).
   Voor meer informatie, zie:
   
   https://lists.opensuse.org/opensuse-security-announce/2017-08
      /msg00048.html
   
   -= Oracle Linux =-
   Oracle Linux heeft updates uitgebracht om de kwetsbaarheden met
   kenmerk CVE-2017-10053, CVE-2017-10067, CVE-2017-10074,
   CVE-2017-10081, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090,
   CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10107,
   CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10115,
   CVE-2017-10116, CVE-2017-10243, CVE-2017-10135 te verhelpen in
   Oracle Linux 6 en 7. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op: 
   
   https://linux.oracle.com/errata/ELSA-2017-2424.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor de diverse
   ondersteunde java-versies voor Red Hat Enterprise Linux 6 en 7. U
   kunt deze updates installeren met behulp van het commando 'yum'.
   Meer informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   java-1.8.0-openjdk:
   http://rhn.redhat.com/errata/RHSA-2017-1789.html
   
   java-1.8.0-oracle:
   http://rhn.redhat.com/errata/RHSA-2017-1790.html
   
   java-1.6.0-ibm:
   https://access.redhat.com/errata/RHSA-2017:2530
   
   java-1.7.1-ibm:
   https://access.redhat.com/errata/RHSA-2017:2481
   
   java-1.7.0-oracle:
   http://rhn.redhat.com/errata/RHSA-2017-1791.html
   
   java-1.7.0-openjdk:
   https://access.redhat.com/errata/RHSA-2017:2424
   
   java-1.6.0-sun:
   http://rhn.redhat.com/errata/RHSA-2017-1792.html
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden voor
   java-1_8_0-openjdk te verhelpen in SUSE 12-SP2 en 12-SP3. U kunt
   deze aangepaste packages installeren door gebruik te maken van
   'YaST'. U kunt de packages ook handmatig downloaden van de SUSE
   FTP-server (ftp.suse.com). Voor meer informatie, zie:
   
   http://lists.suse.com/pipermail/sle-security-updates/2017-August
      /003139.html
   
   -= Ubuntu =-
   Ubuntu heeft updates van OpenJDK 7 en 8 beschikbaar gesteld voor
   Ubuntu 14.04 LTS, Ubuntu 16.04 LTS en 17.04 om de kwetsbaarheden te
   verhelpen. U kunt de aangepaste packages installeren door gebruik te
   maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie
   kunt u vinden op onderstaande pagina:
   
   OpenJDK 7:
   https://usn.ubuntu.com/usn/usn-3396-1/
   
   OpenJDK 8:
   https://usn.ubuntu.com/usn/usn-3366-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 21495)
Charset: utf-8
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=gZFU
-----END PGP SIGNATURE-----

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017