Patch Updates

Mehrere Schwachstellen in Java-1.6.0-openjdk

Betroffene Software
Paket java-1.6.0-openjdk

Betroffene Plattformen
Mandriva Linux 2010.1
Mandriva Linux 2010.1/X86_64
Mandriva Linux 2011
Mandriva Linux 2011/X86_64
Mandriva Enterprise Server 5
Mandriva Enterprise Server 5/X86_64

Lösung
Software Upgrade
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

•http://www.mandriva.com/security

Beschreibung: Mehrere Schwachstellen in Java erlauben einem entfernten Angreifer Denial of Service-Angriffe durchzuführen, Zugriffe auf vertrauliche Informationen zu erlangen und ggf. beliebigen Code zur Ausführung zu bringen.

Referenzen
•Das Hersteller Advisory
◦http://www.mandriva.com/security/advisories?name=MDVSA-2012:021
•Schwachstelle CVE-2011-3563
Schwachstelle in Java Sound-Komponente
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3563
•Schwachstelle CVE-2011-3571
Schwachstelle in Java-Klasse AtomicReferenceArray
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3571
•Schwachstelle CVE-2011-5035
Schwachstelle in Java
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5035
•Schwachstelle CVE-2012-0497
Schwachstelle in Java2D Komponente
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0497
•Schwachstelle CVE-2012-0498
Schwachstelle in Java
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0498
•Schwachstelle CVE-2012-0499
Schwachstelle in Java
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0499
•Schwachstelle CVE-2012-0500
Schwachstelle in Java
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0500
•Schwachstelle CVE-2012-0501
Schwachstelle in Implementierung von UNZIP in Java
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0501
•Schwachstelle CVE-2012-0502
Schwachstelle im AWT KeyboardFocusManager
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0502
•Schwachstelle CVE-2012-0503
Schwachstelle in Java
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0503
•Schwachstelle CVE-2012-0505
Schwachstelle in Java
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0505
•Schwachstelle CVE-2012-0506
Schwachstelle in CORBA Implementierung in Java
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0506

Schwachstelle in Mumble

Betroffene Software
Paket mumble in Debian GNU/Linux 6.0 (squeeze) vor Version 1.2.2-6+squeeze1
Paket mumble in Debian GNU/Linux 7.0 (wheezy) vor Version 1.2.3-3
Paket mumble in Debian GNU/Linux unstable (sid) vor Version 1.2.3-3

Betroffene Plattformen
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Lösung
Software Upgrade
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

•http://security.debian.org/pool/updates/main/

Beschreibung: Eine Schwachstelle in Mumble erlaubt lokalen Angreifern schlimmstenfalls Zugriff auf vertrauliche Informationen wie z.B. Kennwörter von anderen Nutzern.

Referenzen
•Das Hersteller Advisory
◦http://www.debian.org/security/2012/dsa-2411
•Schwachstelle CVE-2012-0863
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0863

Schwachstelle in QEMU-KVM

Betroffene Software
Paket qemu-0.14.0_rc1-1.6.1

Betroffene Plattformen
openSUSE 11.4

Lösung
Software Upgrade
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

•http://download.opensuse.org/update/

Beschreibung: Eine Schwachstelle in der emulierten e1000 Netzwerkschnittstellenkarte in QEMU-KVM (Linux Kernel-based VM) ermöglicht einem lokalen Angreifer das Erweitern der eigenen Berechtigungen.

Referenzen
•Das Hersteller Advisory
◦http://lists.opensuse.org/opensuse-security-announce/
•Schwachstelle CVE-2012-0029
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0029

Schwachstelle in HP LaserJet Druckern

Weitere betroffene Geräte und aktualisierte Firmware-Versionen wurden hinzugefügt.
Neue Zusammenstellung der betroffenen Geräte und der verfügbaren Lösungen sind enthalten.
Firmware die Code signiert ist jetzt verfügbar

Betroffene Software
Remote Firmware Update (RFU)

Betroffene Plattformen
Die betroffenen Geräte können dem Hersteller-Advisory entnommen werden.

Lösung
Workaround
Der Hersteller empfiehlt die Remote Update Funktion zu deaktivieren.

•http://support.itrc.hp.com/

•http://h71028.www7.hp.com/enterprise/downloads/HP-Imaging10.pdf

Beschreibung: Eine Schwachstelle im Firmware Update von HP LaserJet Druckern ermöglicht entfernten Angreifern die vollständige Kontrolle über diese zu übernehmen.

Referenzen
•Das Hersteller Advisory
◦http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03102449
•Schwachstelle CVE-2011-4161
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4161

Schwachstelle im Daemon usbmuxd

Betroffene Software
Paket usbmuxd

Betroffene Plattformen
Fedora 16
Fedora 15

Lösung
Software Upgrade
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

•http://dl.fedoraproject.org/pub/fedora/linux/updates/

Beschreibung: Ein lokaler Angreifer kann eine Schwachstelle im Daemon usbmuxd ausnutzen, um beliebige Befehle mit den Rechten des Benutzers 'usbmux' auszuführen.

Der Daemon usbmuxd dient zur Kommunikation mit Apples iPod Touch und iPhone über USB.

Referenzen
•Das Hersteller Advisory
◦http://lists.fedoraproject.org/pipermail/package-announce/2012-February/073428.html
◦http://lists.fedoraproject.org/pipermail/package-announce/2012-February/073433.html
•Schwachstelle CVE-2012-0065
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0065

Mehrere Schwachstellen in Flash-Player

Betroffene Software
Paket flash-player

Betroffene Plattformen
SUSE Linux Enterprise Desktop 11 SP1 FOR SP2
SUSE Linux Enterprise Desktop 11 SP1

Lösung
Software Upgrade
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

•http://download.opensuse.org/update/

Beschreibung: Mehrere Schwachstellen im Adobe Flash Player erlauben einem entfernten Angreifer im schlimmsten Fall beliebigen Code mit den Rechten der Anwendung zur Ausführung zu bringen.

Referenzen
•Das Hersteller Advisory
◦http://www.novell.com/linux/security/securitysupport.html
•Schwachstelle CVE-2012-0751
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0751
•Schwachstelle CVE-2012-0752
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0752
•Schwachstelle CVE-2012-0754
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754
•Schwachstelle CVE-2012-0753
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0753
•Schwachstelle CVE-2012-0755
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0755
•Schwachstelle CVE-2012-0756
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0756
•Schwachstelle CVE-2012-0767
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0767

Mehrere Schwachstellen in Apache

Betroffene Software
Paket apache

Betroffene Plattformen
SUSE Linux Enterprise Software Development Kit 11 SP1
SUSE Linux Enterprise Server 11 SP1 für VMware
SUSE Linux Enterprise Server 11 SP1

Lösung
Software Upgrade
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

•http://download.opensuse.org/update/

Beschreibung: Mehrere Schwachstellen im Apache HTTP-Webserver erlauben einem entfernten Angreifer einen Denial of Service-Angriff durchzuführen und schlimmstenfalls Zugriff auf vertrauliche Informationen von Nutzern zu erlangen.

Referenzen
•Das Hersteller Advisory
◦http://www.novell.com/linux/security/securitysupport.html
•Schwachstelle CVE-2007-6750
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750

•Schwachstelle CVE-2012-0031
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0031
•Schwachstelle CVE-2012-0053
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0053

Schwachstelle in Xen

Betroffene Software
Paket xen

Betroffene Plattformen
Fedora 16
Fedora 15

Lösung
Software Upgrade
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

•http://dl.fedoraproject.org/pub/fedora/linux/updates/

Beschreibung: Eine Schwachstelle in Xen erlaubt einem Angreifer mit Zugriff auf ein virtuelle Maschine, einen Absturz herbeizuführen oder schlimmstenfalls seine Rechte zu erweitern.

Referenzen
•Das Hersteller Advisory
◦http://lists.fedoraproject.org/pipermail/package-announce/2012-February/073454.html
◦http://lists.fedoraproject.org/pipermail/package-announce/2012-February/073460.html
•Schwachstelle CVE-2012-0029
◦http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0029

Quelle: © DFN-CERT Services GmbH