2019-0106: Oracle Java SE, Java SE Embedded, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2019-01-16 12:05)

Neues Advisory

Version 2 (2019-01-31 10:38)

Für Fedora 28 und 29 stehen die Pakete 'java-11-openjdk-11.0.2.7-0.fc28' und 'java-11-openjdk-11.0.2.7-0.fc29' im Status 'testing' als Sicherheitsupdates bereit.

Version 3 (2019-02-04 12:30)

Für SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 steht ein Sicherheitsupdate für OpenJDK 11 bereit, um die Schwachstellen CVE-2018-11212, CVE-2019-2422 und CVE-2019-2426 zu beheben.

Version 4 (2019-02-11 11:06)

Für Fedora 28 und 29 stehen Sicherheitsupdates für 'java-1.8.0-openjdk' bereit, um die Schwachstellen zu beheben. Das Sicherheitsupdate für Fedora 28 befindet sich im Status 'testing', das Sicherheitsupdate für Fedora 29 steht im Status 'stable' zur Verfügung.

Version 5 (2019-02-12 17:32)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für OpenJDK 11 bereit, um die Schwachstellen CVE-2018-11212, CVE-2019-2422 und CVE-2019-2426 zu beheben. Die Software wird damit auf Version 11.0.2+7 aktualisiert.

Version 6 (2019-02-18 11:20)

Für Fedora 28 und 29 stehen Sicherheitsupdates im Status 'testing' bereit, mit denen das OpenJDK Runtime Environment für das OpenJDK AArch32-Portierungsprojekt auf Version 8u201 aktualisiert wird.

Version 7 (2019-03-11 10:57)

Für die SUSE Linux Enterprise Module für Legacy Software, Open Buildservice Development Tools und Packagehub Subpackages 15 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen CVE-2018-11212 und CVE-2019-2422 in 'java-1_8_0-openjdk' behoben werden. Die Software wird damit auf Version 8u201 (IcedTea 3.11.0) aktualisiert.

Version 8 (2019-03-19 11:10)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' bereit, um die Schwachstellen CVE-2018-11212 und CVE-2019-2422 zu beheben. Die Software wird damit auf Version 8u201 (IcedTea 3.11.0) aktualisiert.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in der Java Advanced Management Console ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und die Manipulation von Dateien. Mehrere weitere Schwachstellen in Java SE und Java SE Embedded ermöglichen dem Angreifer den Lesezugriff auf einige der von der Software erreichbaren Daten und das Bewirken eines partiellen Denial-of-Service (DoS)-Zustands.

Es stehen die aktuellen Versionen Java SE 11.0.2 (LTS) über das Java SE Development Kit (JDK) und alternativ Java SE 8u201 und 8u202 sowie Java SE Embedded 8u201 zum Download als Java SE Runtime Environment (JRE), Server JRE und Java SE Development Kit (JDK) zur Verfügung. Die Java Advanced Management Console wird auf Version 2.13 aktualisiert, um die entsprechende Schwachstelle zu beheben.

Oracle weist darauf hin, dass dies das letzte öffentliche Update für Oracle JDK 8 ist.

Schwachstellen:

CVE-2018-11212

Schwachstelle in Oracle Java SE und Java SE Embedded (libjpeg-Komponente) ermöglicht Denial-of-Service-Angriff

CVE-2019-2422

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2426

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2449

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2019-2540

Schwachstelle in Java Advanced Management Console ermöglicht Ausspähen von Informationen und Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.