2018-2107: Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2018-10-17 15:48)

Neues Advisory

Version 2 (2018-10-18 11:56)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Workstation, for Scientific Computing und Desktop sowie Server Extended Update Support 7.5, for ARM 7 und EUS Compute Node 7.5 Sicherheitsupdates in Form aktualisierter 'java-1.8.0-openjdk'-Pakete. Oracle stellt für Oracle Linux 7 (aarch64, x86_64) und Oracle Linux 6 (i386, x86_64) ebenfalls Sicherheitsupdates für OpenJDK 8 zur Verfügung.

Version 3 (2018-10-19 13:52)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate 'java-11-openjdk' auf den 'Upstream Tag jdk-11.0.1+13 (Oracle October 2018 CPU)' zur Verfügung.

Version 4 (2018-10-23 12:17)

Für Fedora 28 steht ein Sicherheitsupdate in Form des Pakets 'java-11-openjdk-11.0.1.13-1.fc28' im Status 'testing' bereit, um die betreffenden Schwachstellen aus dem Oracle October 2018 CPU zu beheben.

Version 5 (2018-10-25 13:40)

Für Red Hat Enterprise Linux (RHEL) Server, Workstation, Desktop und HPC Node (Compute Node) 6 und 7 sowie für RHEL Server 7.5 EUS und HPC Node 7.5 stehen Sicherheitsupdates für 'java-1.6.0-sun' (Oracle Java SE 6 Update 211), 'java-1.7.0-oracle' (Oracle Java SE 7 Update 201) und 'java-1.8.0-oracle' (Oracle Java SE 8 Update 191) bereit.

Version 6 (2018-10-26 13:21)

Für Debian Stretch 9.5 (stable) steht ein Sicherheitsupdate für 'openjdk-8' auf die Version 8u181-b13-2~deb9u1 bereit.

Version 7 (2018-11-01 13:35)

Canonical stellt für die Distributionen Ubuntu 18.10, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für OpenJDK bereit. Für Oracle Linux 6, die Red Hat Enterprise Linux (RHEL) Produktvarianten Server, Workstation, Desktop und for Scientific Computing 6 und 7 sowie für RHEL Server for ARM 7, Server AUS, EUS und TUS 7.6 und RHEL HPC Node 7.6 stehen Sicherheitsupdates für 'java-1.7.0-openjdk' bereit. Für Fedora 27, 28 und 29 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.191.181022-1.fc29', 'java-1.8.0-openjdk-aarch32-1.8.0.191.181022-1.fc28' und 'java-1.8.0-openjdk-aarch32-1.8.0.191.181022-1.fc27' im Status 'testing' bereit.

Version 8 (2018-11-08 12:12)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate bereit, mit dem die für 'java-1.7.0-openjdk' relevanten Schwachstellen behoben werden.

Version 9 (2018-11-08 12:37)

IBM informiert darüber, dass aktuelle Versionen des IBM SDK, Java Technology Edition von den Schwachstellen in Oracle Java SE betroffen sind. Zur Behebung der Schwachstellen stehen die Versionen 6 Service Refresh 16 Fix Pack 75, 6R1 Service Refresh 8 Fix Pack 75, 7 Service Refresh 10 Fix Pack 35, 7R1 Service Refresh 4 Fix Pack 35 und 8 Service Refresh 5 Fix Pack 25 bereit. IBM stellt eine Übersicht über die einzelnen Versionszweige und die korrespondierenden Schwachstellen zur Verfügung (Referenz anbei).

Version 10 (2018-11-08 13:32)

Für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate für 'java-11-openjdk' bereit, mit dem die Schwachstellen behoben werden. Das Update steht damit unter anderem für Red Hat Enterprise Linux Desktop und Workstation 7, für Red Hat Enterprise Linux Server 7 sowie EUS 7.6, AUS 7.6 und TUS 7.6, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux EUS Compute Node 7.6 und Red Hat Enterprise Linux for ARM 64 7 zur Verfügung.

Version 11 (2018-11-09 11:28)

Für Oracle Linux 7 (x86_64, aarch64) steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'java-11-openjdk' bereit.

Version 12 (2018-11-09 18:49)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Workstation, for Scientific Computing und Desktop Sicherheitsupdates in Form aktualisierter 'java-1.8.0-ibm'-Pakete, durch welche IBM Java SE 8 auf Version 8 SR5-FP25 aktualisiert wird.

Version 13 (2018-11-16 11:42)

Canonical stellt für Ubuntu 14.04 LTS ein Sicherheitsupdate für OpenJDK 7 bereit, um die betreffenden Schwachstellen zu beheben.

Version 14 (2018-11-23 10:45)

Für Debian Jessie (LTS) steht ein Sicherheitsupdate für 'openjdk-7' bereit, mit dem die entsprechenden Schwachstellen behoben werden. Zusätzlich wird die Schwachstelle CVE-2018-2952 adressiert, die einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service-Angriff ermöglicht. Diese Schwachstelle war Teil der Veröffentlichung der Oracle-Sicherheitsupdate im Juli 2018.

Version 15 (2018-11-23 11:39)

Für SUSE Linux Enterprise Module for Legacy Software 15 steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'java-1_8_0-ibm' behoben werden. Die Software wird damit auf Version 8.0 Service Refresh 5 Fix Pack 25 aktualisiert.

Version 16 (2018-11-27 11:53)

Für Red Hat Enterprise Linux Server, Workstation, Desktop und for Scientific Computing 6 und 7 stehen Sicherheitsupdates für 'java-1.7.1-ibm' auf Version 7R1 SR4-FP35 bereit, welche die betroffenen Schwachstellen beheben. IBM Java SE Version 7 Release 1 beinhaltet das IBM Java Runtime Environment und das IBM Java Software Development Kit.

Version 17 (2018-11-27 15:01)

Für SUSE Linux Enterprise (SLE) Server 11 SP3 LTSS steht ein Sicherheitsupdate für 'java-1_7_0-ibm' auf Version 7.0 SR10-FP35 bereit, welches die betroffenen Schwachstellen behebt. Für SLE Software Development Kit und Server 11 SP4 stehen Sicherheitsupdates für 'java-1_7_1-ibm' auf Version 7.1 SR4-FP35 zur Verfügung.

Version 18 (2018-11-28 17:49)

Für SUSE Linux Enterprise (SLE) Software Development Kit 12 SP4 und SP3, für SLE Server 12 SP4, 12 SP3, 12 SP2 LTSS, 12 SP2 BCL, 12 SP1 LTSS und 12 LTSS, für SLE Server for SAP 12 SP2 und für SUSE OpenStack Cloud 7 sowie SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'java-1_7_1-ibm' auf Version 7.1 SR4-FP35 zur Verfügung.

Version 19 (2018-11-29 10:26)

Mit dem Update USN-3804-1 für OpenJDK wurde in Ubuntu 18.04 LTS und 16.04 LTS eine Regression bei der Validierung von JAR-Dateien eingeführt. Canonical stellt für diese Distributionen neue Sicherheitsupdates bereit, um die Regression zu beheben.

Version 20 (2018-12-06 12:14)

Für Red Hat Satellite 5.6 und 5.7 stehen Sicherheitsupdates für 'java-1.7.1-ibm' auf Version 7R1 SR4-FP35 bereit, welche die betreffenden Schwachstellen beheben. IBM Java SE Version 7 Release 1 beinhaltet das IBM Java Runtime Environment und das IBM Java Software Development Kit.

Version 21 (2018-12-11 10:38)

Für SUSE Linux Enterprise Software Development Kit 12 SP3 und 12 SP4, Server for SAP 12 SP2, Server 12 SP1 LTSS, 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 und 12 SP4 sowie SUSE OpenStack Cloud 7 und Enterprise Storage 4 stehen Sicherheitsupdates zur Verfügung, mit denen die Schwachstellen in 'java-1_8_0-ibm' behoben werden. Die Software wird mittels der Sicherheitsupdates auf die Version 8.0 Service Refresh 5 Fix Pack 25 aktualisiert.

Version 22 (2018-12-17 12:37)

Für AIX 5.3, 6.1, 7.1 und 7.2 stehen Sicherheitsupdates zur Behebung der Schwachstellen in IBM SDK Java Technology Edition 7, 7.1 und 8 bereit, die mit dem im Oktober veröffentlichten Sicherheitsupdate für Java behoben wurden. IBM weist darauf hin, dass die Fileset-Level vor 7.0.0.635, 7.1.0.435 und 8.0.0.525 verwundbar sind und empfiehlt die Installation des jeweils aktuellsten Java-Pakets.

Version 23 (2018-12-19 11:33)

Für Red Hat Satellite 5.8 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1.8.0-ibm' behoben werden. Damit wird IBM Java SE 8 auf Version 8 SR5-FP25 aktualisiert.

Version 24 (2019-04-29 15:18)

SUSE veröffentlicht für SUSE Linux Enterprise Server for SAP 12 SP1 Sicherheitsupdates für 'java-1_8_0-ibm' auf Version Java 8.0 Service Refresh 5 Fix Pack 25 und 'java-1_7_1-ibm' auf Version Java 7.1 Service Refresh 4 Fix Pack 35, um die in dem jeweiligen Versionszweig existierenden Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded und JRockit ermöglichen einem entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Darüber hinaus ist ein Denial-of-Service (DoS)-Angriff sowie das Ausspähen und die Manipulation von durch die Software erreichbaren und weiteren kritischen Daten möglich. Sowohl Client- als auch Server-Installationen sind von Schwachstellen betroffen.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 11 (Version 11.0.1), Java SE 8 (Version 8u192) und Java SE Embedded 8 (Version 8u191) zum Download zur Verfügung. Der Hersteller gibt an, dass der Fix für die Schwachstelle CVE-2018-13785 auch die Schwachstelle CVE-2018-14048 adressiert.

Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Aktuell stehen die Versionen 6u211 und 7u201 als Sicherheitsupdates bereit. Die Unterstützung für JDK 6 läuft im Dezember 2018 aus, das letzte Update für diesen Versionszweig wird demnach im Oktober 2018 ausgeliefert. Weiterhin steht JRockit JDK R28.3.20 auf Basis von JDK 6u211 bereit.

Schwachstellen:

CVE-2018-13785

Schwachstelle in libpng ermöglicht Denial-of-Service-Angriff

CVE-2018-3136

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2018-3139

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2018-3149

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Kompromittierung der Software

CVE-2018-3150

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2018-3157

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2018-3169

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Kompromittierung der Software

CVE-2018-3180

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht u. a. Manipulation von Daten

CVE-2018-3183

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Kompromittierung der Software

CVE-2018-3209

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

CVE-2018-3211

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht u. a. Manipulation von Daten

CVE-2018-3214

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.