2018-1675: IBM Java SDK: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2018-08-20 12:49)

Neues Advisory

Version 2 (2018-08-28 12:29)

Für die Red Hat Enterprise Linux (RHEL) Produkte Server, Workstation, Desktop und for Scientific Computing 7 stehen Sicherheitsupdates für IBM Java SE 8 und 7 auf Version 8 SR5-FP20 bzw. auf Version 7R1 SR4-FP30 zur Behebung der betreffenen Schwachstellen bereit. IBM Java SE beinhaltet jeweils IBM Java Runtime Environment (JRE) und IBM Java Software Development Kit (JDK).

Version 3 (2018-08-29 11:05)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 Produktvarianten Server, Workstation, Desktop und for Scientific Computing Sicherheitsupdates auf die IBM Java SE 7 Version 7R1 SR4-FP30 und IBM Java SE 8 Version 8 SR5-FP20, um die für den Versionszweig relevanten Schwachstellen zu beheben.

Version 4 (2018-09-03 11:42)

Für SUSE Linux Enterprise Software Development Kit 11 SP4 sowie für SUSE Linux Enterprise Server 11 SP3 LTSS und 11 SP4 stehen Sicherheitsupdates bereit, mit denen 'java-1_7_0-ibm' auf Version 7.1.4.30 aktualisiert wird.

Version 5 (2018-09-10 11:58)

Für SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4, SUSE Linux Enterprise Software Development Kit 12 SP3 sowie SUSE Linux Enterprise Server for SAP 12 SP1 und SP2 und für SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3 stehen Sicherheitsupdates bereit, mit denen 'java-1_7_0-ibm' auf Version 7.1.4.30 aktualisiert wird.

Version 6 (2018-09-18 11:37)

Für Red Hat Satellite 5.6 und 5.7 stehen Sicherheitsupdates auf die IBM Java SE 7 Version 7R1 SR4-FP30 zur Behebung der Schwachstellen in dem Versionszweig zur Verfügung. Für Red Hat Satellite 5.8 wird ein Sicherheitsupdate auf die IBM Java SE 8 Version 8 SR5-FP20 veröffentlicht.

Version 7 (2018-09-25 12:38)

Für SUSE Linux Enterprise Software Development Kit 12 SP3, Server for SAP 12 SP1 und SP2, Server 12 SP1 LTSS, SP2 LTSS und SP3 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für das Paket 'java-1_8_0-ibm' auf Version 8.0.5.20 bereit.

Version 8 (2018-10-09 18:06)

Für SUSE Linux Enterprise Module for Legacy Software 15 steht ein Sicherheitsupdate für das Paket 'java-1_8_0-ibm' auf Version 8.0.5.20 bereit.

Version 9 (2018-10-19 13:47)

Für SUSE Linux Enterprise Server 12 SP2 BCL stehen Sicherheitsupdates für das Paket 'java-1_8_0-ibm' auf Version 8.0.5.20 und 'java-1_7_1-ibm' auf Version 7.1.4.30 bereit.

Version 10 (2018-11-08 13:53)

Für alle Versionen von IBM Db2 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen CVE-2018-1656, CVE-2018-2973 und CVE-2018-12539 in unterschiedlichen Versionen von IBM Java SDK behoben werden. Für Db2 9.7.x steht hierbei IBM Java SDK 6.0.16.70 oder neuer bereit, für Db2 10.1.x die Version 7.0.10.30 oder neuer, für Db2 10.5.x IBM Java SDK 7.0.10.30 oder neuer (Version 6.0.16.70 oder neuer für LinuxIA64 Plattformen) und für Db2 11.1.x steht IBM Java SDK 8.0.5.20 oder neuer bereit.

Version 11 (2018-11-16 16:12)

IBM informiert darüber, dass von den Schwachstellen in IBM Java SDK and IBM Java Runtime Version 8 SR4FP10 auch IBM Notes Standard Client 9.0.1 bis einschließlich Notes Standard Client 9.0.1 FP10 und IBM Domino 9.0.1 bis einschließlich IBM Domino 9.0.1 FP10 betroffen sind. Interim Fixes & JVM Patches stehen für 9.0.1 Feature Pack 10 zur Verfügung.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Darüber hinaus sind verschiedene Denial-of-Service (DoS)-Angriffe, das Umgehen einer Sicherheitsvorkehrung sowie das Ausspähen und die Manipulation durch die Software erreichbarer und weiterer kritischer Daten möglich.

IBM informiert darüber, dass die mit dem Oracle Juli 2018 Critical Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Edition, in den Versionen 6, 6R1, 7, 7R1 und 8 betreffen. Weiterhin führt der Hersteller 6 zusätzliche Schwachstellen auf, unter anderem in OpenSSL und Eclipse, und stellt die Version 6 Service Refresh 16 Fix Pack 70, Version 6R1 Service Refresh 8 Fix Pack 70, Version 7 Service Refresh 10 Fix Pack 30, Version 7R1 Service Refresh 4 Fix Pack 30 sowie die Version 8 Service Refresh 5 Fix Pack 20 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2016-0705

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2017-3732

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-3736

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2018-12539

Schwachstelle in Eclipse ermöglicht Kompromittierung der Software

CVE-2018-1517

Schwachstelle in java.math-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2018-1656

Schwachstelle in IBM Java Runtime Environment's Diagnostic Tooling Framework for Java (DTFJ) ermöglicht Manipulation von Daten

CVE-2018-2940

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2018-2952

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

CVE-2018-2964

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

CVE-2018-2973

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.