2018-0102: Oracle Java SE, OpenJDK, IBM Java: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung der Software

Historie:

Version 1 (2018-01-17 15:23)

Neues Advisory

Version 2 (2018-01-17 19:51)

Red Hat stellt Sicherheitsupdates für Red Hat Enterprise Linux 6 und 7 in den Ausprägungen Desktop, Server und Workstation, Red Hat Enterprise Linux for Scientific Computing 6 und 7, Red Hat Enterprise Linux EUS Compute Node 7.4 sowie Red Hat Enterprise Linux Server 7.4 in den Versionen Advanced Update Support (AUS), Extented Update Support (EUS) und Telecom Update Support (TUS) in Form aktualisierter 'java-1.8.0-openjdk'-Pakete zur Verfügung. Diese beinhalten OpenJDK 8 Java Runtime Environment und the OpenJDK 8 Java Software Development Kit.

Version 3 (2018-01-18 11:37)

Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für OpenJDK 8 bereit.

Version 4 (2018-01-19 11:16)

Für Red Hat Enterprise Linux (RHEL) 6 und 7 stehen Sicherheitsupdates für Oracle Java SE 7 auf Version 7 Update 171 und Oracle Java SE 8 auf Version 8 Update 161 bereit. Mit diesen Updates werden das Oracle Java Runtime Environment und das Oracle Java Software Development Kit ausgeliefert. Die Updates für Oracle Java (Restricted Maintenance) stehen für RHEL Server, Desktop (Client), Compute Node und Workstation 6 und 7 sowie für RHEL Server EUS 7.4 zur Verfügung.

Version 5 (2018-01-23 12:15)

Für Red Hat Enterprise Linux (RHEL) 6 und 7 stehen Sicherheitsupdates für Oracle Java SE 6 auf Version 6 Update 181 für 'java-1.6.0-sun' bereit. Mit diesen Updates werden das Oracle Java Runtime Environment und das Oracle Java Software Development Kit ausgeliefert. Die Updates für Oracle Java (Restricted Maintenance) stehen für RHEL Server, Desktop (Client), Compute Node und Workstation 6 und 7 sowie für RHEL Server EUS 7.4 zur Verfügung.

Version 6 (2018-01-25 11:29)

Für Fedora 27 steht das aktuelle Paket 'java-9-openjdk-9.0.4.11-3.fc27' als Sicherheitsupdate im Status 'testing' zur Verfügung, mit dem OpenJDK auf Version 9.0.4+11 aktualisiert und kleinere, mit dieser Version aufgetretene Probleme behoben werden.

Version 7 (2018-01-29 10:14)

Für Fedora 26 und 27 steht nun das Paket 'java-1.8.0-openjdk-1.8.0.161-0.b14.fc27' als Sicherheitsupdate im Status 'testing' zur Verfügung, mit dem OpenJDK auf Version 8u161 aktualisiert wird. Für Fedora 26 steht zusätzlich das aktuelle Paket 'java-9-openjdk-9.0.4.11-3.fc26' zur Verfügung, mit dem OpenJDK auf Version 9.0.4+11 aktualisiert wird.

Version 8 (2018-02-22 18:27)

IBM informiert darüber, dass die mit dem Oracle January 2018 Critical Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Edition, in den Versionen 6, 6R1, 7, 7R1 und 8 betreffen, und stellt Version 6 Service Refresh 16 Fix Pack 60, Version 6R1 Service Refresh 8 Fix Pack 60, Version 7 Service Refresh 10 Fix Pack 20, Version 7R1 Service Refresh 4 Fix Pack 20 sowie die Version 8 Service Refresh 5 Fix Pack 10 als Sicherheitsupdates bereit, welche zusätzlich die Schwachstelle CVE-2018-1417 adressieren.

Version 9 (2018-02-27 14:13)

Für das Paket 'java-1.7.0-openjdk' stellen Oracle für Oracle Linux 6 (i386 und x86_64) und Oracle Linux 7 (x86_64) sowie Red Hat für die Produktvarianten Red Hat Enterprise Linux for ARM 64 7, for Scientific Computing 6 und 7 (x86_64), Desktop, Workstation und Server in den Versionen 7 (x86_64) und 6 (i386 und x86_64) sowie die Servervarianten AUS 7.4, EUS 7.4, 4 Year EUS 7.4 und TUS 7.4 Sicherheitsupdates bereit, welche die Schwachstellen CVE-2018-2579, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2629, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2641, CVE-2018-2663, CVE-2018-2677 und CVE-2018-2678 adressieren. Oracle und Red Hat stufen dieses Sicherheitsupdate als wichtig ein. Weiterhin stellt Red Hat für die Produktvarianten Red Hat Enterprise Linux for Scientific Computing 6 und 7 (x86_64), Desktop, Workstation und Server in den Versionen 6 (i386 und x86_64) und 7 (x86_64) Sicherheitsupdates für das Paket 'java-1.8.0-ibm' auf IBM Java SE 8 Version 8 SR5-FP10 bereit, welche die Schwachstellen CVE-2018-2579, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2638, CVE-2018-2639, CVE-2018-2641, CVE-2018-2663, CVE-2018-2677 und CVE-2018-2678 adressieren. Red Hat stuft dieses Sicherheitsupdate als kritisch ein.

Version 10 (2018-03-07 15:04)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und Scientific Computing Sicherheitsupdates auf die IBM Java SE 7 Version 7R1 SR4-FP20, um insgesamt 15 der aufgeführten Schwachstellen zu beheben.

Version 11 (2018-03-07 17:13)

Für SUSE Linux Enterprise Software Development Kit 11 SP4 und SUSE Linux Enterprise Server 11 SP4 stehen Sicherheitsupdates für 'java-1_7_1-ibm' auf Version 7.1.4.20 bereit, um die betreffenden 15 der aufgeführten Schwachstellen zu beheben.

Version 12 (2018-03-09 13:55)

Für SUSE Linux Enterprise Server 11 SP3 LTSS steht ein Sicherheitsupdate für 'java-1_7_0-ibm' auf Version 7.0.10.20 bereit, um die betreffenden 15 der aufgeführten Schwachstellen zu beheben.

Version 13 (2018-03-13 12:35)

IBM informiert darüber, dass die mit Oracle January 2018 Critical Patch Update veröffentlichten Java SE Schwachstellen auch IBM SDK, Java Technology Editions betreffen, welches mit WebSphere Application Server Liberty bis einschließlich Version 18.0.0.1 ausgeliefert wird. Ebenfalls betroffen sind IBM SDK, Java Technology Editions ausgeliefert mit IBM WebSphere Application Server Traditional in den Versionen 9.0.0.0 bis 9.0.0.7, 8.5.0.0 bis 8.5.5.13, 8.0.0.0 bis 8.0.0.14 und 7.0.0.0 bis 7.0.0.43 sowie IBM Java SDK ausgeliefert mit IBM WebSphere Application Server Patterns 1.0.0.0 bis 1.0.0.7 und 2.2.0.0 bis 2.2.5.0. IBM informiert über die Schwachstellen und gibt detaillierte Informationen, auf welche IBM SDK, Java Technology Edition Versionen in den einzelnen Versionszweigen von IBM WebSphere Application Server (Liberty, traditional und Hypervisor Edition) jeweils aktualisiert werden sollte. Ferner kündigt IBM die Versionen 18.0.0.2 für das zweite Quartal 2018 (2Q2018), 8.5.5.13 (3Q2018) sowie 8.0.0.15 und 7.0.0.45 (2Q2018) als Sicherheitsupdates an. Bis zur Veröffentlichung der Sicherheitsupdates können auch die jeweiligen Interim Fixes eingespielt werden, um die Schwachstellen zu beheben. SUSE stellt für die SUSE Linux Enterprise Produkte Desktop 12 SP2, Server for Raspberry Pi 12 SP2, Server 12 SP2 und 12 SP3 Sicherheitsupdates für 'java-1_7_0-openjdk' auf OpenJDK 7u171 bereit, um die entsprechenden 14 Schwachstellen zu beheben. Für SUSE OpenStack Cloud 6, SUSE Linux Enterprise Server for SAP 12 SP1, Server 12 SP1 LTSS, Server for Raspberry Pi 12 SP2, Server 12 SP2 und 12 SP3 sowie Desktop 12 SP2 und 12 SP3 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' zur Behebung der betreffenden 15 Schwachstellen und für SUSE OpenStack Cloud 6, SUSE Linux Enterprise Software Development Kit 12 SP2 und 12 SP3, Server for SAP 12 SP1 sowie Server 12 SP1 LTSS, 12 SP2 und 12 SP3 Sicherheitsupdates für 'java-1_8_0-ibm' zur Behebung der betreffenden 16 Schwachstellen bereit.

Version 14 (2018-03-15 11:00)

Red Hat stellt für die Red Hat Enterprise Linux 6 Produktvarianten Desktop, Server, Workstation und Linux for Scientific Computing Sicherheitsupdates für 'java-1.7.1-ibm' zur Verfügung, durch welche IBM Java SE 7 auf Version 7R1 SR4-FP20 aktualisiert wird. IBM Java SE Version 7 Release 1 beinhaltet das IBM Java Runtime Environment und das IBM Java Software Development Kit. Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' bereit, durch welches die betreffenden 15 Schwachstellen in 'jdk8u161' (icedtea 3.7.0) behoben werden.

Version 15 (2018-03-15 15:13)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'java-1_7_0-openjdk' bereit, durch welches 14 Schwachstellen, die mit OpenJDK 7u171 adressiert wurden, behoben werden.

Version 16 (2018-03-16 09:53)

Für die SUSE Linux Enterprise Produktvarianten Software Development Kit und Server jeweils in den Versionen 12 SP2 und 12 SP3 stehen Sicherheitsupdates für IBM Java 1.7.1 auf die Version 7.1.4.20 zur Verfügung, um insgesamt 15 der hier aufgeführten Schwachstellen, die für den IBM Java Versionszweig relevant sind, zu beheben.

Version 17 (2018-03-19 11:51)

Debian stellt für die stabile Distribution Stretch (9.4) Sicherheitsupdates für 'openjdk-8' auf die Version '8u162-b12-1~deb9u1' bereit, um die betreffenden Schwachstellen zu beheben.

Version 18 (2018-03-20 11:57)

Für die SUSE Linux Enterprise Produktvarianten Software Development Kit in den Versionen 12 SP2 und 12 SP3, Server for SAP 12 SP1 sowie Server in den Versionen 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3 stehen Sicherheitsupdates für IBM Java 1.7.1 auf die Version 7.1.4.20 zur Verfügung, um insgesamt 15 der hier aufgeführten Schwachstellen, welche für den IBM Java Versionszweig 1.7.1 relevant sind, zu beheben.

Version 19 (2018-03-21 12:11)

Für Fedora 27 steht ein Sicherheitsupdate für das OpenJDK Runtime Environment im OpenJDK AArch32 Project-Preview auf Version 8u161 (1.8.0.161) im Status 'testing' zur Verfügung.

Version 20 (2018-04-03 17:41)

Für Ubuntu 17.10 und 16.04 LTS stehen Sicherheitsupdates für OpenJDK 8 zur Behebung der betreffenden Schwachstellen zur Verfügung. Für Ubuntu 14.04 LTS steht ein Sicherheitsupdate für OpenJDK 7 zur Behebung der betreffenden Schwachstellen bereit. Nicht alle der hier aufgeführten Schwachstellen betreffen dabei die von Ubuntu gepachten OpenJDK-Versionen. Für nähere Informationen siehe Ubuntu Security Notice USN-3613-1 und USN-3614-1 (Referenzen).

Version 21 (2018-04-05 18:08)

Debian stellt für die alte stabile Distribution Jessie Sicherheitsupdates für OpenJDK 7 bereit, um 14 der hier aufgeführten Schwachstellen zu beheben.

Version 22 (2018-05-16 12:08)

Für Red Hat Satellite 5.8 steht ein Sicherheitsupdate auf die IBM Java SE 8 Version SR5-FP10 zur Verfügung.

Version 23 (2018-06-08 13:19)

Für Red Hat Satellite 5.6 und 5.7 stehen Sicherheitsupdates auf die IBM Java SE 7 Version 7R1 SR4-FP20 zur Verfügung.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded, JRockit und der Java Advanced Management Console ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Darüber hinaus sind verschiedene Denial-of-Service (DoS)-Angriffe sowie das Ausspähen und die Manipulation von durch die Software erreichbarer und weiterer kritischer Daten möglich. Eine der Schwachstellen betrifft das Installationswerkzeug von Java SE auf Windows-Systemen, die Ausnutzung zweier weiterer Schwachstellen erfordert bestimmte Privilegien.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 9 (Version 9.0.4), Java SE 8 (Version 8u162) und Java SE Embedded 8 (Version 8u161) zum Download zur Verfügung. Die Java Advanced Management Console wird auf Version 2.9 aktualisiert, um die entsprechende Schwachstelle zu beheben.

Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Oracle kündigt darüber hinaus das Ende der öffentlichen Updates für Oracle Java SE 8 für September 2018 an. Java SE 9.0.4 ist nach Aussage des Herstellers die letzte für diesen Versionszweig geplante Version.

Schwachstellen:

CVE-2018-1417

Schwachstelle in Oracle Java Virtual Machine ermöglicht Privilegieneskalation

CVE-2018-2579

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2018-2581

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2018-2582

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2018-2588

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2018-2599

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten und Denial-of-Service-Angriff

CVE-2018-2602

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Kompromittierung der Software

CVE-2018-2603

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2018-2618

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2018-2627

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

CVE-2018-2629

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten

CVE-2018-2633

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Kompromittierung der Software

CVE-2018-2634

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2018-2637

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2018-2638 CVE-2018-2639

Schwachstellen in Oracle Java SE ermöglichen Kompromittierung der Software

CVE-2018-2641

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2018-2657

Schwachstelle in Oracle Java SE und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2018-2663 CVE-2018-2678

Schwachstellen in Oracle Java SE, Java SE Embedded und JRockit ermöglichen Denial-of-Service-Angriff

CVE-2018-2675

Schwachstelle in Java Advanced Management Console ermöglicht Ausspähen von Informationen

CVE-2018-2677

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2018-2783

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen und Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.