2017-1241: Oracle Java, JRockit, Java Management Console, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung

Historie:

Version 1 (2017-07-19 15:20)

Neues Advisory

Version 2 (2017-07-21 11:43)

Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, HPC Node, Server und Workstation, für Red Hat Enterprise Linux Server TUS v. 7.3 sowie für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für OpenJDK 1.8.0 bereit. Für die Oracle Java for Red Hat Enterprise Linux Produkte Desktop, HPC Node, Server und Workstation in Version 6 und 7 stehen Sicherheitsupdates für Oracle Java SE 6 auf Version 6u161, Oracle Java SE 7 auf Version 7u151 und Oracle Java SE 8 auf Version 8u141 bereit. Die Sicherheitsupdates adressieren jeweils unterschiedliche Teilmengen der aufgeführten Schwachstellen.

Version 3 (2017-07-24 13:32)

Für Fedora 24, 25 und 26 stehen Sicherheitsupdates für Oracle Java SE 8 (OpenJDK 1.8.0) auf Version 8u141 in Form der Pakete 'java-1.8.0-openjdk-1.8.0.141-1.b16.fc24', 'java-1.8.0-openjdk-1.8.0.141-1.b16.fc25' und 'java-1.8.0-openjdk-1.8.0.141-1.b16.fc26' im Status 'testing' bereit.

Version 4 (2017-07-27 11:44)

Für Fedora 24 steht das Paket 'java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721.fc24' als Sicherheitsupdate im Status 'testing' bereit. Dies ist ein Sicherheitsupdate für das OpenJDK Runtime Environment als Preview-Release für das OpenJDK AArch32-Portierungsprojekt. Zudem stellen Debian, für die Distribution Stretch (stable), und Canonical, für die Distributionen Ubuntu 17.04 und Ubuntu 16.04 LTS, Sicherheitsupdates für OpenJDK 8 bereit.

Version 5 (2017-08-01 14:52)

Canonical stellt für die Distributionen Ubuntu 17.04 und Ubuntu 16.04 LTS erneut ein Sicherheitsupdate für OpenJDK 8 bereit. Darin wird eine mit dem zuvor veröffentlichten Sicherheitsupdate eingeführte Regression behoben, die verursacht hat, dass die Validierung gültiger JAR-Dateien fehlschlägt.

Version 6 (2017-08-02 11:17)

Für Fedora 25 und 26 stehen die Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721.fc25' und 'java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721.fc26' als Sicherheitsupdate im Status 'testing' bereit. Dies sind Sicherheitsupdates für das OpenJDK Runtime Environment als Preview-Release für das OpenJDK AArch32-Portierungsprojekt.

Version 7 (2017-08-08 15:28)

UPDATE Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop, Workstation und Linux for Scientific Computing sowie für Server for ARM 7, Compute Node 7.4 EUS und die Server 7.4 Produktversionen Extended Update Support (EUS), Advanced Update Support (AUS) und Telco Update Support (TUS) Sicherheitsupdates für OpenJDK 7 auf Version 7u151 zur Verfügung.

Version 8 (2017-08-10 13:55)

Für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) stehen Sicherheitsupdates für 'java-1.7.0-openjdk' bereit, mit denen 18 der referenzierten Schwachstellen behoben werden.

Version 9 (2017-08-16 18:26)

Für SUSE Linux Enterprise Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2, SUSE Linux Enterprise Server 12 SP1 LTSS, 12 SP2 und 12 SP3, Desktop 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf die Version jdk8u141 (icedtea 3.5.0) bereit.

Version 10 (2017-08-18 12:38)

Canonical stellt für Ubuntu 14.04 LTS ein Sicherheitsupdate für OpenJDK 7 auf Version 7u151 bereit.

Version 11 (2017-08-28 11:32)

Debian stellt für die alte stabile Distribution Jessie ein Sicherheitsupdate für OpenJDK 7 bereit.

Betroffene Software

Entwicklung
Systemsoftware
Virtualisierung

Betroffene Plattformen

HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE 6u141, 7u131 und 8u131, Java SE Embedded 8u131 sowie JRockit R28.3.14 und der Java Advanced Management Console 2.6 ermöglichen einem entfernten, auch nicht authentisierten Angreifer die komplette Kompromittierung der betroffenen Software und dadurch die Einflussnahme auf weitere Produkte und möglicherweise das gesamte System, die Manipulation von Dateien, das Ausspähen von Informationen und verschiedene Denial-of-Service-Angriffe. Eine Schwachstelle ermöglicht auch einem lokalen, nicht authentisierten Angreifer mit physischem Zugriff auf das System die Kompromittierung der Software, falls Java Auto Update aktiviert ist. Die Schwachstellen betreffen meist Client-, aber auch Server-Installationen. Für die erfolgreiche Ausnutzung der Schwachstellen ist teilweise eine nicht näher spezifizierte Interaktion einer anderen Person als der des Angreifers erforderlich.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es steht eine aktuelle Version von Java SE 8 und Java SE Embedded 8 (Version 8u141) zum Download zur Verfügung. Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Die Java Advanced Management Console wird auf Version 2.7 aktualisiert, um die jeweiligen Schwachstellen zu beheben.

Schwachstellen:

CVE-2017-10053 CVE-2017-10108 CVE-2017-10109

Schwachstellen in Java SE, Java SE Embedded und JRockit ermöglichen u.a. Denial-of-Service-Angriff

CVE-2017-10067

Schwachstelle in Java SE ermöglicht komplette Kompromittierung der Software

CVE-2017-10074

Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der Software

CVE-2017-10078

Schwachstelle in Java SE ermöglicht komplette Kompromittierung der Software

CVE-2017-10081

Schwachstelle in Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2017-10086 CVE-2017-10089 CVE-2017-10110

Schwachstellen in Java SE ermöglichen komplette Kompromittierung der Software

CVE-2017-10087 CVE-2017-10090 CVE-2017-10096 CVE-2017-10101 CVE-2017-10107 CVE-2017-10111

Schwachstellen in Java SE und Java SE Embedded ermöglichen komplette Kompromittierung der Software

CVE-2017-10102

Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der Software

CVE-2017-10104

Schwachstelle in Java Advanced Management Console ermöglicht Kompromittierung der Software

CVE-2017-10105

Schwachstelle in Java SE ermöglicht Manipulation von Daten

CVE-2017-10114

Schwachstelle in Java SE ermöglicht komplette Kompromittierung der Software

CVE-2017-10115 CVE-2017-10118 CVE-2017-10176

Schwachstellen in Java SE, Java SE Embedded und JRockit ermöglichen Ausspähen von Informationen

CVE-2017-10116

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette Kompromittierung der Software

CVE-2017-10117

Schwachstelle in Java Advanced Management Console ermöglicht Ausspähen von Informationen

CVE-2017-10121

Schwachstelle in Java Advanced Management Console ermöglicht Kompromittierung der Software

CVE-2017-10125

Schwachstelle in Java SE ermöglicht komplette Kompromittierung der Software

CVE-2017-10135

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2017-10145

Schwachstelle in Java Advanced Management Console ermöglicht Kompromittierung der Software

CVE-2017-10193

Schwachstelle in Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2017-10198

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2017-10243

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht u.a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.