DFN-CERT

Advisory-Archiv

2019-0478: IBM Java SDK: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-03-07 18:55)
Neues Advisory
Version 2 (2019-03-08 11:13)
Für die Red Hat Enterprise Linux 6 Produktvarianten for Scientific Computing, Desktop, Workstation und Server stehen Sicherheitsupdates auf die IBM Java SE Version 7R1 SR4-FP40 zur Verfügung, um die für diesen Versionszweig relevanten Schwachstellen CVE-2018-11212, CVE-2018-12547 und CVE-2019-2422 zu beheben.
Version 3 (2019-03-11 10:30)
Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für 'java-1.7.1-ibm' und 'java-1.8.0-ibm' bereit, um die Schwachstellen in den jeweiligen Versionszweigen zu beheben. Die Updates auf Version 7R1 SR4-FP40 bzw. 8 SR5-FP30 stehen damit unter anderem für Red Hat Enterprise Linux Desktop, Server und Workstation 7 sowie für Red Hat Enterprise Linux for Scientific Computing 7 zur Verfügung.
Version 4 (2019-03-13 16:45)
Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3 und SP4, Server for SAP 12 SP1 und SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 und 12 SP4 sowie SUSE OpenStack Cloud 7 und Enterprise Storage 4 stehen Sicherheitsupdates auf die IBM Java Version 7.1.4.40 bereit.
Version 5 (2019-03-14 18:56)
Für die SUSE Linux Enterprise Produkte Software Development Kit und Server jeweils in Version 11 SP4 stehen Sicherheitsupdates auf die IBM Java Version 7.1.4.40 bereit.
Version 6 (2019-03-15 16:32)
Für alle Versionen von IBM Db2 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen CVE-2018-1890, CVE-2018-12547 und CVE-2019-2426 in unterschiedlichen Versionen von IBM Java SDK behoben werden. Für Db2 10.1.x steht hierbei die Version 7.0.10.40 oder neuer bereit, für Db2 10.5.x IBM Java SDK 7.0.10.40 oder neuer und für Db2 11.1.x steht IBM Java SDK 8.0.5.30 oder neuer bereit.
Version 7 (2019-03-18 11:32)
Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3 und SP4, Server for SAP 12 SP1 und 12 SP2, Server 12 SP1 LTSS, 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 und 12 SP4 sowie SUSE OpenStack Cloud 7 und Enterprise Storage 4 stehen Sicherheitsupdates auf die IBM Java Version 8.0.5.30 bereit.
Version 8 (2019-03-26 10:30)
Red Hat veröffentlicht für Red Hat Satellite 5.8 ein Sicherheitsupdate auf die IBM Java Version 8.0.5.30.
Version 9 (2019-04-17 19:22)
IBM informiert darüber, dass auch die IBM Java SDK Versionen, die mit IBM AIX 7.1 und 7.2 ausgeliefert werden, von diesen Schwachstellen betroffen sind und stellt Sicherheitsupdates zur Verfügung.
Version 10 (2019-11-12 12:14)
IBM informiert darüber, dass IBM Spectrum Protect Plus für Linux in den Versionen 10.1.0 bis 10.1.4 von den Schwachstellen in Java betroffen ist und stellt die Version 10.1.4.254 als Sicherheitsupdate bereit.

Betroffene Software

Datensicherung
Entwicklung
Server

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, eine Privilegieneskalation, verschiedene Denial-of-Service (DoS)-Angriffe und Ausspähen von Informationen.

IBM informiert darüber, dass die mit dem Oracle Januar 2019 Critical Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Edition, in den Versionen 7, 7R1 und 8 betreffen. Weiterhin führt der Hersteller drei zusätzliche Schwachstellen auf, unter anderem in Eclipse, und stellt die Version 7 Service Refresh 10 Fix Pack 40, Version 7R1 Service Refresh 4 Fix Pack 40 sowie die Version 8 Service Refresh 5 Fix Pack 30 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2018-11212

Schwachstelle in Oracle Java SE und Java SE Embedded (libjpeg-Komponente) ermöglicht Denial-of-Service-Angriff

CVE-2018-12547

Schwachstelle in IBM SDK ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12549

Schwachstelle in Eclipse OpenJ9 ermöglicht nicht spezifizierten Angriff

CVE-2018-1890

Schwachstelle in IBM SDK ermöglicht Privilegieneskalation

CVE-2019-2422

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2426

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2449

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.