2018-1405: Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung der Software

Historie:

Version 1 (2018-07-18 14:13)

Neues Advisory

Version 2 (2018-07-25 13:13)

Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-1.8.0.181-7.b13.fc27', 'java-openjdk-10.0.2.13-1.fc27', 'java-1.8.0-openjdk-1.8.0.181-7.b13.fc28' und 'java-openjdk-10.0.2.13-1.fc28' im Status 'testing' zur Behebung der jeweils betroffenen Schwachstellen bereit. Weitere Sicherheitsupdates für 'java-1.7.0-oracle' und 'java-1.8.0-oracle', mit denen Oracle Java SE 7 auf Version 7 Update 191 und Java SE 8 auf Version 8 Update 181 aktualisiert werden, stehen für Red Hat Enterprise Linux 6 und 7 bereit. Als betroffene Produkte werden hier Oracle Java (Restricted Maintenance) für Red Hat Enterprise Linux (RHEL) Client, Server und Workstation 6 und 7 sowie für RHEL Compute Node 6, RHEL Compute Node Extended Update Support 7.5 und RHEL Server Extended Update Support 7.5 genannt.

Version 3 (2018-07-30 13:21)

SUSE stellt für das SUSE Linux Enterprise Module for Basesystem 15 ein Sicherheitsupdate auf die OpenJDK Version 10.0.2 zur Verfügung, um die Schwachstellen CVE-2018-2940, CVE-2018-2952, CVE-2018-2972 und CVE-2018-2973 zu beheben.

Version 4 (2018-08-06 18:38)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate bereit, mit dem OpenJDK auf Version 10.0.2 aktualisiert wird.

Version 5 (2018-08-09 12:20)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'java-11-openjdk' zur Behebung der Schwachstellen CVE-2018-2940, CVE-2018-2952, CVE-2018-2972 und CVE-2018-2973 zur Verfügung.

Version 6 (2018-09-07 11:58)

Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.181.180802-1.fc27' und 'java-1.8.0-openjdk-aarch32-1.8.0.181.180802-1.fc28' im Status 'testing' bereit.

Version 7 (2018-10-08 13:01)

Für openSUSE Leap 15.0 und SUSE Linux Enterprise Module for Legacy Software 15 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf das 'jdk8u181' (icedtea 3.9.0) Release bereit.

Version 8 (2018-10-08 16:17)

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP2, Server 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3, Desktop 12 SP3 sowie SUSE Enterprise Storage 4 und SUSE OpenStack Cloud 7 stehen nun ebenfalls Sicherheitsupdates für 'java-1_8_0-openjdk' auf das 'jdk8u181' (icedtea 3.9.0) Release bereit.

Version 9 (2018-10-12 14:49)

Für openSUSE Leap 42.3 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf das 'jdk8u181' (icedtea 3.9.0) Release bereit.

Version 10 (2018-10-19 13:38)

Für SUSE Linux Enterprise Server 12 SP2 BCL stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf das 'jdk8u181' (icedtea 3.9.0) Release bereit.

Version 11 (2019-04-29 14:52)

Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf die Version 'jdk8u181' (icedtea 3.9.0) zur Verfügung.

Betroffene Software

Entwicklung
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Darüber hinaus ist ein Denial-of-Service (DoS)-Angriff sowie das Ausspähen und die Manipulation von durch die Software erreichbarer und weiterer kritischer Daten möglich.
Sowohl Client- als auch Server-Installationen sind von Schwachstellen betroffen.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 10 (Version 10.0.2), Java SE 8 und Java SE Embedded 8 (Version 8u181) zum Download zur Verfügung.

Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Aktuell stehen die Versionen 6u201 und 7u191 als Sicherheitsupdates bereit. Die Unterstützung für JDK 6 läuft im Dezember 2018 aus, das letzte Update für diesen Versionszweig wird demnach im Oktober 2018 ausgeliefert. Weiterhin steht JRockit JDK R28.3.19 auf Basis von JDK 6u201 bereit.

Schwachstellen:

CVE-2018-2938

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

CVE-2018-2940

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2018-2941

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

CVE-2018-2942

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

CVE-2018-2952

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2018-2964

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

CVE-2018-2972

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2018-2973

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.