2018-0724: Oracle Java SE, OpenJDK, IBM Java SDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung der Software

Historie:

Version 1 (2018-04-18 14:13)

Neues Advisory

Version 2 (2018-04-20 11:54)

Für die Distributionen Fedora 26 und Fedora 27 stehen Sicherheitsupdates für OpenJDK 1.8.0 in Form von 'java-1.8.0-openjdk-1.8.0.171-3.b10.'-Paketen im Status 'testing' zur Behebung der in dem Versionszweig enthaltenen Schwachstellen zur Verfügung. Die Software wird damit auf die bei Oracle unter der Bezeichnung 8u171 geführte Version aktualisiert.

Version 3 (2018-04-20 12:32)

Für Red Hat Linux Enterprise 6 und 7 sowie für Oracle Linux 6 und 7 stehen über das Paket 'java-1.8.0-openjdk' Sicherheitsupdates für das OpenJDK 8 Java Runtime Environment und das OpenJDK 8 Java Software Development Kit bereit. Die Software wird damit auf die bei Oracle unter der Bezeichnung 8u171 geführte Version aktualisiert und steht unter anderem für Red Hat Enterprise Linux Desktop, Workstation und Server in Version 6 und 7, Red Hat Enterprise Linux for Scientific Computing 6 und 7 sowie Red Hat Enterprise Linux Server Extended Update Support (EUS) 7.5, Red Hat Enterprise Linux EUS Compute Node 7.5 und Red Hat Enterprise Linux for ARM 64 7 zur Verfügung.

Version 4 (2018-04-24 11:58)

Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates für Oracle Java (Restricted Maintenance) bereit, mit denen die Pakete 'java-1.6.0-sun' auf Oracle Java SE 6 Version 6 Update 191, 'java-1.7.0-oracle' auf Oracle Java SE 7 Version 7 Update 181 und 'java-1.8.0-oracle' auf Oracle Java SE 8 Version 8 Update 171 aktualisiert werden.

Version 5 (2018-04-30 12:32)

Für Debian Stretch 9.4 (stable) steht ein Sicherheitsupdate bereit, mit welchem das Paket 'openjdk-8' aktualisiert wird.

Version 6 (2018-05-02 11:51)

Für die Red Hat Enterprise Linux 6 Produkte Server, Workstation, Desktop und Scientific Computing sowie Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für 'java-1.7.0-openjdk' bereit.

Version 7 (2018-05-03 14:40)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produkte Server, Server for ARM, Workstation, Desktop und Scientific Computing sowie Sever EUS 7.5 und EUS Compute Node 7.5 Sicherheitsupdates für 'java-1.7.0-openjdk'. Oracle stellt für Oracle Linux 7 (x86_64) ebenfalls Sicherheitsupdates für OpenJDK 7 bereit.

Version 8 (2018-05-11 12:44)

Canonical veröffentlicht für die Distributionen Ubuntu 16.04 LTS und Ubuntu 17.10 Sicherheitsupdates für OpenJDK 8, um die für die Version relevanten Schwachstellen zu beheben.

Version 9 (2018-05-16 13:53)

IBM informiert darüber, dass die mit dem Oracle April 2018 Critical Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Edition, in den Versionen 6, 6R1, 7, 7R1 und 8 betreffen. Weiterhin weist der Hersteller darauf hin, dass die vorherigen Versionen nur von CVE-2018-2814 auf Solaris, HP-UX und Mac OS betroffen sind und stellt Version 6 Service Refresh 16 Fix Pack 65, Version 6R1 Service Refresh 8 Fix Pack 65, Version 7 Service Refresh 10 Fix Pack 25, Version 7R1 Service Refresh 4 Fix Pack 25 sowie die Version 8 Service Refresh 5 Fix Pack 15 als Sicherheitsupdates bereit.

Version 10 (2018-05-24 19:29)

IBM informiert darüber, dass der IBM WebSphere Application Server Liberty 18.0.0.1 und ältere Versionen sowie der WebSphere Application Server Traditional 9.0.0.7, 8.5.5.13, 8.0.0.15 und 7.0.0.45 sowie ältere Versionen verwundbare IBM Java SDK Versionen verwenden. Abhängig von der jeweiligen WebSphere Application Server Version und der verwendeten Java SDK Version stehen dem Nutzer verschiedene Möglichkeiten zur Behebung der Schwachstellen zur Verfügung. Einzelheiten dazu finden sich im referenzierten IBM Security Bulletin swg22016282.

Version 11 (2018-05-25 12:29)

Red Hat stellt für die Red Hat Enterprise Linux Produkte Server, Desktop, Workstation und Linux for Scientific Computing in den Versionen 6 und 7 Sicherheitsupdates für IBM Java 1.7.1 und 1.8.0 bereit, um die für diese Versionszweige relevanten Schwachstellen zu beheben.

Version 12 (2018-05-28 18:48)

Für die SUSE Linux Enterprise Produkte Software Development Kit und Server jeweils in der Version 11 SP4 stehen Sicherheitsupdates für 'java-1_7_1-ibm' auf die Version 7.1.4.25 bereit, um die betreffenden Schwachstellen zu beheben.

Version 13 (2018-05-29 18:38)

Für SUSE Linux Enterprise Server 11 SP3 steht ein Sicherheitsupdate für 'java-1_7_1-ibm' auf Version 7.1.4.25 bereit, um die betreffenden Schwachstellen zu beheben. Die Schwachstelle CVE-2018-1417 wurde in IBM Java erst am 22.02.2018 behoben und betrifft demnach alle SUSE-Produkte in diesem Advisory. Die übrigen Produkte in diesem Advisory nutzen eine andere Java Distribution, welche zu diesem Zeitpunkt nicht mehr von der Schwachstelle CVE-2018-1417 betroffen war.

Version 14 (2018-05-30 19:27)

Für Fedora 27 und 28 stehen nun Sicherheitsupdates für 'java-1.8.0-openjdk-aarch32' auf die Version 8u171 im Status 'testing' bzw. 'pending' bereit.

Version 15 (2018-06-04 14:46)

IBM informiert darüber, dass die mit Oracle April 2018 Critical Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Editions betreffen, welches mit IBM WebSphere Application Server Patterns 1.0.0.0 bis 1.0.0.7 und 2.2.0.0 bis 2.2.5.0 ausgeliefert wird.

Version 16 (2018-06-11 13:45)

Für Debian Jessie (oldstable) 8.10 steht ein Sicherheitsupdate für 'openjdk-7' auf Version 7u181 zur Behebung der betreffenden Schwachstellen bereit.

Version 17 (2018-06-14 20:23)

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und 12 SP2, Server 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3, Desktop 12 SP3 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version 8u171 und für 'java-1_7_0-openjdk' auf Version 7u181 bereit, um jeweils 10 Schwachstellen zu beheben.

Version 18 (2018-06-18 11:51)

Für openSUSE Leap 15.0 und 42.3 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, um die für diesen Versionszweig relevanten Schwachstellen zu beheben. Für openSUSE Leap 42.3 steht ein weiteres Sicherheitsupdate für 'java-1_7_0-openjdk' zur Verfügung. Die Software wird damit auf die Version 8u171 bzw. 7u181 aktualisiert.

Version 19 (2018-06-20 12:04)

Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, Server for SAP 12 SP1 und 12 SP2, Server 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'java-1_8_0-ibm' auf Version 8.0.5.15 bereit, um die betreffenden 13 Schwachstellen zu beheben.

Version 20 (2018-06-21 12:03)

Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, Server for SAP 12 SP1 und 12 SP2, Server 12 SP1 LTSS, 12 SP2 LTSS, 12 LTSS und 12 SP3 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'java-1_7_1-ibm' auf Version 7.1.4.25 bereit, um die betreffenden 11 Schwachstellen zu beheben.

Version 21 (2018-06-22 12:44)

Canonical stellt für die Distribution Ubuntu 14.04 LTS ein Sicherheitsupdate für OpenJDK 7 bereit, um die betreffenden 10 Schwachstellen zu beheben.

Version 22 (2018-06-26 11:38)

Für Red Hat Satellite 5.6 for RHEL 6 und Red Hat Satellite 5.7 stehen Sicherheitsupdates auf die IBM Java SE 7 Version 7R1 SR4-FP25 (entspricht Version 7.1.4.25) zur Verfügung. Für Red Hat Satellite 5.8 steht ein Sicherheitsupdate auf die IBM Java SE 8 Version 8 SR5-FP15 (8.0.5.15) bereit.

Version 23 (2018-07-12 17:42)

Für SUSE Linux Enterprise Module for Legacy Software 15 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf Version 8u171 zur Behebung der betreffenden 10 Schwachstelle zur Verfügung.

Version 24 (2018-07-13 13:31)

SUSE stellt für SUSE Linux Enterprise Module for Legacy Software 15 (x86_64) Sicherheitsupdates für 'java-1_8_0-openjdk' auf die Version 8u171 bereit, um zehn in dem Versionszweig existierende Schwachstellen zu beheben.

Version 25 (2018-07-27 13:24)

Für das SUSE Linux Enterprise Module for Legacy Software 15 steht ein Sicherheitsupdate auf die IBM Java Version 8.0.5.15 zur Verfügung mit dem insgesamt 13 Schwachstellen behoben werden.

Version 26 (2018-10-19 13:29)

Für SUSE Linux Enterprise Server 12 SP2 BCL stehen Sicherheitsupdates bereit, durch welche 'java-1_8_0-openjdk' auf Version 8u171, 'java-1_7_0-openjdk auf Version 7u181, 'java-1_8_0-ibm' auf Version 8.0.5.15 und 'java-1_7_1-ibm' auf Version 7.1.4.25 aktualisiert werden.

Version 27 (2018-12-13 18:00)

IBM informiert darüber, dass eine Vielzahl von Schwachstellen in den IBM SDK Java Technology Edition Versionen 6 und 8 existieren, die vom IBM Tivoli Directory Server in den Versionen 6.2 bis einschließlich 6.2.0.55 und 6.3 bis einschließlich 6.3.0.48 sowie dem IBM Security Directory Server in den Versionen 6.3.1 bis einschließlich 6.3.1.23 und 6.4 bis einschließlich 6.4.0.15 genutzt werden. Die Schwachstellen wurden im Rahmen der IBM Java SDK Updates im April 2018 (diese Meldung), Januar 2018, Oktober 2017, July 2017 und Januar 2017 veröffentlicht und behoben. IBM stellt die IBM Tivoli Directory Server Versionen 6.2.0.56 und 6.3.0.49 sowie die IBM Security Directory Server Versionen 6.3.1.24 und 6.4.0.16 als Sicherheitsupdates zur Behebung der Java Schwachstellen zur Verfügung. Zusätzlich werden mit diesen Versionen auch vier Schwachstellen im IBM GSKit bzw. OpenSSL behoben (siehe IBM Security Bulletin 0718847).

Betroffene Software

Datensicherung
Entwicklung
Middleware
Netzwerk
Server
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Darüber hinaus sind verschiedene Denial-of-Service (DoS)-Angriffe sowie das Ausspähen und die Manipulation von durch die Software erreichbarer und weiterer kritischer Daten möglich. Eine der Schwachstellen betrifft das Installationswerkzeug von Java SE und kann nur lokal während des Installationsvorgangs ausgenutzt werden.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 10 (Version 10.0.1), Java SE 8 (Version 8u172) und Java SE Embedded (Version 8u171) zum Download zur Verfügung.

Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Oracle kündigt darüber hinaus das Ende der öffentlichen Updates für Oracle Java SE 8 nach Januar 2019 an.

Schwachstellen:

CVE-2018-1417

Schwachstelle in Oracle Java Virtual Machine ermöglicht Privilegieneskalation

CVE-2018-2783

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen und Manipulation von Daten

CVE-2018-2790

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2018-2794

Schwachstelle in Oracle Java SE und JRockit ermöglicht komplette Kompromittierung der Software

CVE-2018-2795 CVE-2018-2796 CVE-2018-2797 CVE-2018-2798 CVE-2018-2799 CVE-2018-2815

Schwachstellen in Oracle Java SE, Java SE Embedded und JRockit ermöglichen Denial-of-Service-Angriffe

CVE-2018-2800

Schwachstelle in Oracle Java SE und JRockit ermöglicht Ausspähen von Informationen und Manipulation von Daten

CVE-2018-2811

Schwachstelle in Oracle Java SE ermöglicht komplette Kompromittierung der Software

CVE-2018-2814

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der Software

CVE-2018-2825 CVE-2018-2826

Schwachstellen in Oracle Java SE ermöglichen komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.