2017-1825: Oracle Java SE, JRockit, Java M.C., OpenJDK, IBM Java SDK: Mehrere Schwachstellen ermöglichen u.a. die Kompromittierung des Systems

Historie:

Version 1 (2017-10-18 16:05)

Neues Advisory

Version 2 (2017-10-20 19:39)

Red Hat stellt Sicherheitsupdates für Red Hat Enterprise Linux 6 und 7 in den Ausprägungen Desktop, Server und Workstation, Red Hat Enterprise Linux for Scientific Computing 6 und 7, Red Hat Enterprise Linux EUS Compute Node 7.4 sowie Red Hat Enterprise Linux Server 7.4 in den Versionen Advanced Update Support (AUS), Extented Update Support (EUS) und Telecom Update Support (TUS) in Form aktualisierter 'java-1.8.0-openjdk'-Pakete zur Verfügung. Diese beinhalten OpenJDK 8 Java Runtime Environment und the OpenJDK 8 Java Software Development Kit.

Version 3 (2017-10-23 12:02)

Oracle stellt für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) aktualisierte 'java-1.8.0-openjdk'-Pakete in der Version 8u151 als Sicherheitsupdates bereit.

Version 4 (2017-10-23 14:07)

Red Hat stellt Sicherheitsupdates für Oracle Java (für RHEL Client / Compute Node / Server / Workstation) 6 und 7 sowie für Red Hat Enterprise Linux Compute Node und Server Extented Update Support (EUS) 7.4 in Form aktualisierter 'java-1.8.0-oracle'-Pakete zur Verfügung, durch welche Oracle Java SE 8 auf Version 8 Update 151 aktualisiert wird. Oracle Java SE 8 beinhaltet Oracle Java Runtime Environment 8 und Oracle Java Software Development Kit.

Version 5 (2017-10-24 18:43)

Red Hat stellt Sicherheitsupdates für Oracle Java (für RHEL Client / Compute Node / Server / Workstation) 6 und 7 sowie für Red Hat Enterprise Linux Compute Node und Server Extented Update Support (EUS) 7.4 in Form aktualisierter 'java-1.6.0-sun'- und 'java-1.7.0-oracle'-Pakete zur Verfügung, durch welche Oracle Java SE 6 auf Version 6 Update 171 und Oracle Java SE 7 auf Version 7 Update 161 aktualisiert wird.

Version 6 (2017-10-27 12:26)

Für Fedora 25, 26 und 27 stehen die Pakete 'java-1.8.0-openjdk-1.8.0.151-1.b12.fc25', 'java-1.8.0-openjdk-1.8.0.151-1.b12.fc26' und 'java-1.8.0-openjdk-1.8.0.151-1.b12.fc27' als Sicherheitsupdate bereit. Es handelt sich dabei um Sicherheitsupdates für das OpenJDK Runtime Environment als Preview-Release für das OpenJDK AArch64-Portierungsprojekt. Die Sicherheitsupdates für Fedora 25 und 26 befinden sich im Status 'testing', während dasjenige für Fedora 27 noch im Status 'pending' ist.

Version 7 (2017-11-01 11:02)

Für Fedora 27 steht ein Sicherheitsupdate für 'java-9-openjdk' im Status 'testing' zur Verfügung. Mit diesem Update wird die Software auf die aktuelle Version 9.0.1 aktualisiert.

Version 8 (2017-11-03 12:40)

Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate für 'openjdk-8' zur Verfügung.

Version 9 (2017-11-08 12:00)

Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 17.04 und Ubuntu 16.04 LTS Sicherheitsupdates für OpenJDK 8 zur Verfügung.

Version 10 (2017-11-13 13:24)

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2, Server 12 SP1 LTSS, 12 SP2 und 12 SP3, Desktop 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 und openSUSE Leap 42.2 und 42.3 stehen entsprechende Sicherheitsupdates für 'java-1_8_0-openjdk' auf die Version jdk8u151 (icedtea 3.6.0) bereit.

Version 11 (2017-11-24 10:48)

Debian stellt für die alte stabile Distribution Jessie ein Sicherheitsupdate für 'openjdk-7' zur Verfügung.

Version 12 (2017-11-29 11:17)

Canonical veröffentlicht für die Distribution Ubuntu 14.04 LTS ein Sicherheitsupdate für OpenJDK 7, über welches mehrere der hier referenzierten Schwachstellen behoben werden.

Version 13 (2017-11-30 18:17)

IBM informiert darüber, dass zahlreiche Schwachstellen in Java SE, welche mit dem Oracle October 2017 Critical Patch Update veröffentlicht wurden, auch IBM SDK Java Technology Edition in den Versionen 8 SR4 FP10 (8.0.4.10), 7 Release 1 SR4 FP10 (7.1.4.10), 7 SR10 FP10 (7.0.10.10), 6 R1 SR8 FP50 (6.1.8.50) und 6 SR16 FP50 (6.0.16.50) betreffen. Von den Schwachstellen CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843 waren diese Releases allerdings ausschließlich auf Solaris, HP-UX und Mac OS betroffen, während diese für andere Plattformen bereits früher behoben wurden. IBM hat die Versionen 8 SR5 FP5 (8.0.5.5), 7 Release 1 SR4 FP15 (7.1.4.15), 7 SR10 FP15 (7.0.10.15), 6 R1 SR8 FP55 (6.1.8.55) und 6 SR16 FP55 (6.0.16.55) als Sicherheitsupdates bereitgestellt.

Version 14 (2017-12-07 12:44)

Red Hat stellt für Red Hat Enterprise Linux for Scientific Computing 6, für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, Workstation und Server sowie für die Server 7.4 Produktversionen Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year Extended Update Support und Telco Update Support (TUS) Sicherheitsupdates in Form aktualisierter 'java-1.7.0-openjdk'-Pakete zur Verfügung. Diese beinhalten OpenJDK 7 Java Runtime Environment und OpenJDK 7 Java Software Development Kit. Es wird eine Auswahl von Schwachstellen behoben, die mit Oracle October 2017 Critical Patch Update veröffentlicht wurden, sowie zusätzlich CVE-2017-10193 und CVE-2017-10198, die bereits mit dem Oracle July 2017 Critical Patch Update veröffentlicht wurden.

Version 15 (2017-12-07 12:51)

Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen jetzt ebenfalls Sicherheitsupdates in Form aktualisierter 'java-1.7.0-openjdk'-Pakete zur Verfügung, welche dieselben Schwachstellen adressieren wie die Sicherheitsupdates für Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7.

Version 16 (2017-12-08 11:05)

Für das SUSE Linux Enterprise Module for Legacy Software 12 steht ein Sicherheitsupdate für 'java-1_6_0-ibm' zur Verfügung, mit dem 15 der Schwachstellen adressiert werden.

Version 17 (2017-12-11 13:48)

IBM informiert darüber, dass die IBM SDK Java Technology Edition Versionen 6, 7, 7.1 und 8 wie verwendet in AIX 5.3, 6.1, 7.1, 7.2 und VIOS 2.2.x von den als Teil des IBM Java SDK Updates im Oktober 2017 veröffentlichten Schwachstellen betroffen sind. Die IBM SDK Java Technology Edition Versionen 6 Service Refresh 16 Fix Pack 55 (6.0.15.55), 7 Service Refresh 10 Fix Pack 15 (7.0.10.15), 7 Release 1 Service Refresh 4 Fix Pack 15 (7.1.4.15) und 8 Service Refresh 5 Fix Pack 5 (8.0.5.5) stehen als Sicherheitsupdates zur Behebung der Schwachstellen auch für AIX 5.3, 6.1, 7.1, 7.2 und VIOS 2.2.x bereit.

Version 18 (2017-12-27 13:29)

Für SUSE OpenStack Cloud 6 und für die SUSE Linux Enterprise Produkte Software Development Kit und Server in Version 12 SP2 und SP3 sowie für SUSE Linux Enterprise Server for SAP 12 SP1 und SUSE Linux Enterprise Server 12 SP1 LTSS stehen Sicherheitsupdates bereit, mit denen 'java-1_8_0-ibm' auf Version 8.0.5.5 aktualisiert wird.

Version 19 (2017-12-27 18:07)

Für SUSE Linux Enterprise Software Development Kit und Server 11 SP4 steht ein Sicherheitsupdate für 'java-1_7_1-ibm' zur Verfügung, mit dem 14 der Schwachstellen adressiert werden.

Betroffene Software

Entwicklung
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded, JRockit und der Java Advanced Management Console ermöglichen einem entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Eine dieser Schwachstellen besteht im Java SE Kerberos Client. Darüber hinaus sind verschiedene Denial-of-Service-Angriffe sowie das Ausspähen und die Manipulation durch die Software erreichbarer und weiterer kritischer Daten möglich. Eine der Schwachstellen erfordert zur Ausnutzung erweiterte Privilegien in der Java Advanced Management Console, eine weitere Schwachstelle erfordert lokalen Zugriff auf ein betroffenes System. Zusätzlich werden bereits bekannte Schwachstellen in LittleCMS und zlib behoben.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es steht eine aktuelle Version von Java SE 9 (Version 9.0.1), Java SE 8 und Java SE Embedded 8 (Version 8u151) zum Download zur Verfügung. Oracle weist darauf hin, dass Oracle JDK 8 das letzte dedizierte Oracle Java SE Embedded Produkt ist und veröffentlicht dazu einen Blogeintrag (Referenz anbei).

Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Die Java Advanced Management Console wird auf Version 2.8 aktualisiert, um die jeweiligen Schwachstellen zu beheben.

Schwachstellen:

CVE-2016-10165

Schwachstelle in LittleCMS ermöglicht u. a. Ausspähen von Informationen

CVE-2016-9840

Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-Angriff

CVE-2016-9841

Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-Angriff

CVE-2016-9842

Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

CVE-2016-9843

Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-10274

Schwachstelle in Java SE ermöglicht Manipulation von Daten

CVE-2017-10281 CVE-2017-10355

Schwachstellen in Java SE, Java SE Embedded und JRockit ermöglichen Denial-of-Service-Angriffe

CVE-2017-10285 CVE-2017-10346

Schwachstellen in Java SE und Java SE Embedded ermöglichen komplette Kompomittierung der Software

CVE-2017-10293

Schwachstelle in Java SE ermöglicht Manipulation von Daten

CVE-2017-10295

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten

CVE-2017-10309

Schwachstelle in Java SE ermöglicht u.a. Manipulation von Daten

CVE-2017-10341

Schwachstelle in Java Advanced Management Console ermöglicht Manipulation von Daten

CVE-2017-10342

Schwachstelle in Java Advanced Management Console ermöglicht Denial-of-Service-Angriff

CVE-2017-10345

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2017-10347

Schwachstelle in Java SE und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2017-10348 CVE-2017-10349 CVE-2017-10350 CVE-2017-10357

Schwachstellen in Java SE und Java SE Embedded ermöglichen Denial-of-Service-Angriffe

CVE-2017-10356

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten

CVE-2017-10380

Schwachstelle in Java Advanced Management Console ermöglicht Manipulation von Daten

CVE-2017-10386

Schwachstelle in Java Advanced Management Console ermöglicht Manipulation von Daten

CVE-2017-10388

Schwachstelle in Java SE und Java SE Embedded ermöglicht Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.