Meerdere kwetsbaarheden verholpen in Oracle Java SE
Oracle heeft updates uitgebracht voor Oracle Java SE.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.16 #############################
Titel : Meerdere kwetsbaarheden verholpen in Oracle Java SE
Advisory ID : NCSC-2017-0661
Versie : 1.16
Kans : medium
CVE ID : CVE-2017-1376, CVE-2017-1541, CVE-2017-10053,
CVE-2017-10067, CVE-2017-10074, CVE-2017-10078,
CVE-2017-10081, CVE-2017-10086, CVE-2017-10087,
CVE-2017-10089, CVE-2017-10090, CVE-2017-10096,
CVE-2017-10101, CVE-2017-10102, CVE-2017-10104,
CVE-2017-10105, CVE-2017-10107, CVE-2017-10108,
CVE-2017-10109, CVE-2017-10110, CVE-2017-10111,
CVE-2017-10114, CVE-2017-10115, CVE-2017-10116,
CVE-2017-10117, CVE-2017-10118, CVE-2017-10121,
CVE-2017-10125, CVE-2017-10135, CVE-2017-10145,
CVE-2017-10150, CVE-2017-10176, CVE-2017-10193,
CVE-2017-10198, CVE-2017-10243
(http://cve.mitre.org/cve/)
Schade : high
Remote code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens
Uitgiftedatum : 20171011
Toepassing : IBM Lotus Notes
IBM Spectrum Protect (IBM Tivoli Network Storage
Manager)
IBM WebSphere Application Server
IBM Websphere Portal
Oracle Java
Versie(s) :
Platform(s) : Linux
IBM AIX
Update
IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
IBM Spectrum Protect (voormalig Tivoli Storage Manager). Zie
"Mogelijke oplossingen" voor meer informatie.
Samenvatting
Oracle heeft updates uitgebracht voor Oracle Java SE.
Gevolgen
Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om
toegang te verkrijgen tot gevoelige informatie of voor het uitvoeren
van willekeurige code.
Beschrijving
Oracle heeft met de Critical Patch Update (CPU) van juli 2017
diverse kwetsbaarheden in Oracle-producten verholpen. Onderstaande
tabel beschrijft de kwetsbaarheden die zijn verholpen op basis van
het component, het CVE-ID en de CVSS-score.
-----------------------------------------------------
| Component | CVE-ID | CVSS |
-----------------------------------------------------
| IBM J9 VM Class verifier | CVE-2017-1376 | 9.8 |
| AWT | CVE-2017-10110 | 9.6 |
| ImageIO | CVE-2017-10089 | 9.6 |
| JavaFX | CVE-2017-10086 | 9.6 |
| JAXP | CVE-2017-10096 | 9.6 |
| JAXP | CVE-2017-10101 | 9.6 |
| Libraries | CVE-2017-10087 | 9.6 |
| Libraries | CVE-2017-10090 | 9.6 |
| Libraries | CVE-2017-10111 | 9.6 |
| RMI | CVE-2017-10107 | 9.6 |
| RMI | CVE-2017-10102 | 9.0 |
| JavaFX | CVE-2017-10114 | 8.3 |
| Hotspot | CVE-2017-10074 | 8.3 |
| Security | CVE-2017-10116 | 8.3 |
| Scripting | CVE-2017-10078 | 8.1 |
| Security | CVE-2017-10067 | 7.5 |
| JCE | CVE-2017-10115 | 7.5 |
| JCE | CVE-2017-10118 | 7.5 |
| Security | CVE-2017-10176 | 7.5 |
| IBM AIX | CVE-2017-1541 | 7.3 |
| Server | CVE-2017-10104 | 7.4 |
| Server | CVE-2017-10145 | 7.4 |
| Deployment | CVE-2017-10125 | 7.1 |
| Security | CVE-2017-10198 | 6.8 |
| JAX-WS | CVE-2017-10243 | 6.5 |
| Server | CVE-2017-10121 | 6.1 |
| JCE | CVE-2017-10135 | 5.9 |
| Server | CVE-2017-10117 | 5.3 |
| 2D | CVE-2017-10053 | 5.3 |
| Serialization | CVE-2017-10108 | 5.3 |
| Serialization | CVE-2017-10109 | 5.3 |
| Deployment | CVE-2017-10105 | 4.3 |
| Hotspot | CVE-2017-10081 | 4.3 |
| Security | CVE-2017-10193 | 3.1 |
-----------------------------------------------------
Mogelijke oplossingen
Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
U kunt de updates downloaden vanaf de website van Oracle. Zie voor
meer informatie:
http://www.oracle.com/technetwork/security-advisory
/cpujul2017-3236622.html
-= CentOS =-
CentOS heeft updates beschikbaar gesteld voor CentOS 6 en 7 om de
kwetsbaarheden te verhelpen. U kunt deze updates installeren met
behulp van het commando 'yum'. Voor meer informatie en een eventueel
handmatige installatie, zie:
CentOS 6:
https://access.redhat.com/errata/RHSA-2017:1789
CentOS 7:
https://access.redhat.com/errata/RHSA-2017:1789
-= Debian =-
Debian heeft updates van openjdk-8 beschikbaar gesteld voor Debian
9.0 (Stretch) om de kwetsbaarheden te verhelpen. Meer informatie
kunt u vinden op onderstaande pagina:
https://www.debian.org/security/2017/dsa-3919
Debian heeft updates van openjdk-7 beschikbaar gesteld voor Debian
8.0 (Jessie) om de kwetsbaarheden te verhelpen. Meer informatie
kunt u vinden op onderstaande pagina:
https://www.debian.org/security/2017/dsa-3954
U kunt de aangepaste packages installeren door gebruik te maken van
'apt-get update' en 'apt-get upgrade'.
-= Fedora =-
Fedora heeft updates van java-1.8.0-openjdk beschikbaar gesteld voor
Fedora 24, 25 en 26. U kunt deze updates installeren met behulp van
het commando 'dnf' of 'yum'. Meer informatie over deze updates en
over een eventueel handmatige installatie vindt u op:
Fedora 24:
https://lists.fedoraproject.org/archives/list
/package-announce@lists.fedoraproject.org/message
/O4EQQXDC2MA5H6JC2K4VRKTCXDG322B4/
Fedora 25:
https://lists.fedoraproject.org/archives/list
/package-announce@lists.fedoraproject.org/message
/OQEWCSB2RTHNS2BLPYCEUMQEXBHOUDIH/
Fedora 26:
https://lists.fedoraproject.org/archives/list
/package-announce@lists.fedoraproject.org/message
/UACO4MQ56V3GNKWTI3XFHL5XK3KMETMS/
-= IBM =-
IBM heeft updates uitgebracht voor IBM Websphere Application Server
om de kwetsbaarheden met kenmerk CVE-2017-10116, CVE-2017-10115 en
CVE-2017-10107 te verhelpen. Zie onderstaande link voor informatie
en update-instructies:
http://www.ibm.com/support/docview.wss?uid=swg22007002
IBM heeft updates uitgebracht voor IBM WebSphere Portal om de
kwetsbaarheden met kenmerk CVE-2017-10116, CVE-2017-10115,
CVE-2017-10102 en CVE-2017-10053 te verhelpen. Zie onderstaande
link voor informatie en update-instructies:
http://www-01.ibm.com/support/docview.wss?uid=swg22006996
IBM heeft updates uitgebracht voor IBM AIX om de kwetsbaarheden te
verhelpen. Zie onderstaande link voor informatie en
update-instructies:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-2/
IBM heeft updates uitgebracht voor IBM (Lotus) Notes om de
kwetsbaarheden met kenmerk CVE-2017-10110, CVE-2017-10107,
CVE-2017-10101, CVE-2017-10096, CVE-2017-10090, CVE-2017-10089,
CVE-2017-10087, CVE-2017-10102, CVE-2017-10116, CVE-2017-10078,
CVE-2017-10115, CVE-2017-10067, CVE-2017-10125, CVE-2017-10243,
CVE-2017-10109, CVE-2017-10108, CVE-2017-10053, CVE-2017-10105,
CVE-2017-10111, CVE-2017-10074 en CVE-2017-10081 te verhelpen. Zie
onderstaande link voor informatie en update-instructies:
http://www-01.ibm.com/support/docview.wss?uid=swg22009253
IBM heeft updates uitgebracht voor IBM Spectrum Protect (voormalig
Tivoli Storage Manager) om de kwetsbaarheden te verhelpen. Zie
onderstaande link voor informatie en update-instructies:
https://www.ibm.com/blogs/psirt
/ibm-security-bulletin-multiple-vulnerabilities-in-ibm-java-runti
me-affect-ibm-spectrum-protect-formerly-tivoli-storage-manager-op
erations-center-and-client-management-services-cve-2017-10115-cve
/
-= OpenSUSE =-
De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
de kwetsbaarheden te verhelpen in OpenSUSE Leap 42.2 en 42.3. U kunt
deze aangepaste packages installeren door gebruik te maken van
'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
downloaden van de OpenSUSE downloadserver (download.opensuse.org).
Voor meer informatie, zie:
https://lists.opensuse.org/opensuse-security-announce/2017-08
/msg00048.html
-= Oracle Linux =-
Oracle Linux heeft updates uitgebracht om de kwetsbaarheden met
kenmerk CVE-2017-10053, CVE-2017-10067, CVE-2017-10074,
CVE-2017-10081, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090,
CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10107,
CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10115,
CVE-2017-10116, CVE-2017-10243, CVE-2017-10135 te verhelpen in
Oracle Linux 6 en 7. Meer informatie over deze updates en over een
eventueel handmatige installatie vindt u op:
https://linux.oracle.com/errata/ELSA-2017-2424.html
-= Red Hat =-
Red Hat heeft updates beschikbaar gesteld voor de diverse
ondersteunde java-versies voor Red Hat Enterprise Linux 6 en 7. U
kunt deze updates installeren met behulp van het commando 'yum'.
Meer informatie over deze updates en over een eventueel handmatige
installatie vindt u op:
java-1.8.0-openjdk:
http://rhn.redhat.com/errata/RHSA-2017-1789.html
java-1.8.0-oracle:
http://rhn.redhat.com/errata/RHSA-2017-1790.html
java-1.6.0-ibm:
https://access.redhat.com/errata/RHSA-2017:2530
java-1.7.1-ibm:
https://access.redhat.com/errata/RHSA-2017:2481
java-1.7.0-oracle:
http://rhn.redhat.com/errata/RHSA-2017-1791.html
java-1.7.0-openjdk:
https://access.redhat.com/errata/RHSA-2017:2424
java-1.6.0-sun:
http://rhn.redhat.com/errata/RHSA-2017-1792.html
-= SUSE =-
SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden voor
java-1_8_0-openjdk te verhelpen in SUSE 12-SP2 en 12-SP3. U kunt
deze aangepaste packages installeren door gebruik te maken van
'YaST'. U kunt de packages ook handmatig downloaden van de SUSE
FTP-server (ftp.suse.com). Voor meer informatie, zie:
http://lists.suse.com/pipermail/sle-security-updates/2017-August
/003139.html
-= Ubuntu =-
Ubuntu heeft updates van OpenJDK 7 en 8 beschikbaar gesteld voor
Ubuntu 14.04 LTS, Ubuntu 16.04 LTS en 17.04 om de kwetsbaarheden te
verhelpen. U kunt de aangepaste packages installeren door gebruik te
maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie
kunt u vinden op onderstaande pagina:
OpenJDK 7:
https://usn.ubuntu.com/usn/usn-3396-1/
OpenJDK 8:
https://usn.ubuntu.com/usn/usn-3366-1/
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 21495)
Charset: utf-8
wsDVAwUBWd4atyhuEbXFfhL2AQjovAv/dqO9kub0hbhOxlNTR7OYdNckZGp9DSQ3
RBE0iamdDxmqfXtnT9FPORO5AyIRf02Igxy1jIRrkhVWcTrjnQbA6dEGyRzKHhDx
Czp+/abcOzc+YFDMSW2JVcgXT+s1tNn4vUtwYNZwAZ+5lbtrbM3GiNtLNghBdmbM
H7zpA+46pzUQGybAt2cnzDJmYk4eeC2YHRswHwYwzW7+PcPunWfHiPefVZElmmJJ
FnAGlShyTT8Lkh8GNHJV9BM6295APo3QHirFzZXiIVLAScK24LABiIQ3UsTJeZ8C
qBMBMkxb7rKXT+4d24RdlZKl3CtOaDHMSxd0OiaowVmECL4TOX8SHSQR9Wu0F7rn
Dy3ePRpfBy4dFuD/gCoVEykedlFNvsR+0Id9/OYAOxNKFpgAL9bMXfRuX9x598QK
EW5kziYL2Wx43KsbiixajMrVgV2bR5HncEV7jxMzDjgSsdZqbKSAbwC9YJth0sZ3
NN1r6Wu7UcVZXJCBTtRTurCxSlEhODrC
=gZFU
-----END PGP SIGNATURE-----
