2017-1438: IBM Java SE, IBM Java SDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung
Historie:
- Version 1 (2017-08-14 17:59)
- Neues Advisory
- Version 2 (2017-08-21 11:42)
- Für die Plattfomen Red Hat Enterprise Linux Desktop, Server und Workstation sowie für Red Hat Enterprise Linux for Scientific Computing in Version 6 und 7 stehen Sicherheitsupdates für 'java-1.7.1-ibm' bereit. Die Software wird mit diesen Updates auf Version 7R1 SR4-FP10 aktualisiert, CVE-2017-10087 betrifft diesen Versionszweig nicht.
- Version 3 (2017-08-23 15:51)
- Für die Red Hat Enterprise Linux 6 Produktvarianten Server, Workstation, Desktop und Scientific Computing stehen Sicherheitsupdates auf die IBM Java SE Version 6 SR16-FP50 bereit, um die aufgeführten Schwachstellen, mit Ausnahme der CVE-2017-10078 und CVE-2017-10090, zu beheben.
- Version 4 (2017-08-28 11:50)
- Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3 und 12 SP2, Server for SAP 12 SP1, Server 12 SP3, 12 SP2 und 12 SP1 LTSS sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates für IBM Java 1.8.0 zur Verfügung. Mittels dieser Sicherheitsupdates werden die Schwachstellen CVE-2017-10074, CVE-2017-10081, CVE-2017-10111 und CVE-2017-10125 ebenfalls behoben, die von den Red Hat Advisories nicht referenziert wurden.
- Version 5 (2017-08-29 16:15)
- Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, 12 SP2 und 12 SP3, Server for SAP 12 und 12 SP1, Server 11 SP4, 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates für IBM Java 1.7.1 zur Verfügung. Die Schwachstelle CVE-2017-10078 wird nicht referenziert.
- Version 6 (2017-08-30 19:43)
- IBM informiert darüber, dass zahlreiche Schwachstellen in Java SE, welche mit dem Oracle July 2017 Critical Patch Update veröffentlicht wurden, auch IBM SDK Java Technology Edition betreffen und hat die Versionen 8 SR4 FP10 (8.0.4.10), 7 Release 1 SR4 FP10 (7.1.4.10), 7 SR10 FP10 (7.0.10.10), 6 R1 SR8 FP50 (6.1.8.50) und 6 SR16 FP50 (6.0.16.50) als Sicherheitsupdates bereitgestellt. Durch diese wird zusätzlich die Schwachstelle CVE-2017-1376 behoben, über die bereits mit dem IBM Security Update August 2017 informiert wurde.
- Version 7 (2017-10-06 19:52)
- IBM bestätigt die Schwachstellen in IBM SDK Java Technology Edition Version 6 SR16FP45 und Version 8 SR4FP5, welche mit dem Oracle July 2017 Critical Patch Update veröffentlicht wurden, auch für die IBM Notes Standard Client Versionen 8.5 (alle Releases), 8.5.x bis einschließlich 8.5.3 Fix Pack 6 Interim Fix 15, 9.0 (alle Releases) und 9.0.x bis einschließlich 9.0.1 Feature Pack 9 und stellt auf Basis eines Service Requests mit IBM Support unter Referenzierung von SPR HYUEAQ2JUQ kundenspezifische Hotfixes als Sicherheitsupdates bereit.
- Version 8 (2017-10-19 20:03)
- IBM bestätigt die Schwachstellen in IBM SDK Java Technology Edition Version 6 SR16FP45 und Version 8 SR4FP5, welche mit dem Oracle July 2017 Critical Patch Update veröffentlicht wurden, auch für die IBM Domino Versionen 8.5 (alle Releases), 8.5.x bis einschließlich 8.5.3 Fix Pack 6 Interim Fix 18, 9.0 (alle Releases) und 9.0.x bis einschließlich 9.0.1 Feature Pack 9 Interim Fix 1 und stellt auf Basis eines Service Requests mit IBM Support unter Referenzierung von SPR HYUEAQ2JUQ kundenspezifische Hotfixes als Sicherheitsupdates bereit.
Betroffene Software
Entwicklung
Middleware
Server
Betroffene Plattformen
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE ermöglichen einem entfernten, nicht authentisierten Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das Ausspähen von Informationen und verschiedene Denial-of-Service (DoS)-Angriffe. Eine weitere Schwachstelle ermöglicht auch einem entfernten, einfach authentisierten Angreifer die komplette Kompromittierung eines Systems.
Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Supplementary Produktvarianten Server, Desktop, Workstation und Linux for Scientific Computing Sicherheitsupdates für IBM Java SE 8 auf Version 8 SR4-FP10 zur Verfügung.
Schwachstellen:
CVE-2017-10053 CVE-2017-10108 CVE-2017-10109
Schwachstellen in Java SE, Java SE Embedded und JRockit ermöglichen u.a. Denial-of-Service-AngriffCVE-2017-10067
Schwachstelle in Java SE ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10074
Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10078
Schwachstelle in Java SE ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10081
Schwachstelle in Java SE und Java SE Embedded ermöglicht Manipulation von DatenCVE-2017-10087 CVE-2017-10090 CVE-2017-10096 CVE-2017-10101 CVE-2017-10107 CVE-2017-10111
Schwachstellen in Java SE und Java SE Embedded ermöglichen komplette Kompromittierung der SoftwareCVE-2017-10089 CVE-2017-10110
Schwachstellen in Java SE ermöglichen komplette Kompromittierung der SoftwareCVE-2017-10102
Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10105
Schwachstelle in Java SE ermöglicht Manipulation von DatenCVE-2017-10115
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von InformationenCVE-2017-10116
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10125
Schwachstelle in Java SE ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10243
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht u.a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.