2019-0773: Oracle Java SE, Java SE Embedded, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. die Kompromittierung der Software

Historie:

Version 1 (2019-04-17 13:50)

Neues Advisory

Version 2 (2019-04-18 12:26)

Red Hat veröffentlicht für die Red Hat Enterprise Linux Produkte Server 7, for ARM 7, AUS 7.6, EUS 7.6 und TUS 7.6, Workstation 7, Desktop 7, for Scientific Computing 7 und EUS HPC Node 7.6 Sicherheitsupdates für OpenJDK 8 und 11, um die für diesen Versionszweig relevanten Schwachstellen zu beheben. Oracle stellt korrespondierende Sicherheitsupdates für Oracle Linux 7 (aarch64m, x86_64) zur Verfügung. Red Hat stellt ebenfalls für die Red Hat Enterprise Linux 6 Produkte Server, Workstation, Desktop und for Scientific Computing Sicherheitsupdates für OpenJDK 8 bereit. Oracle veröffentlicht aktualisierte 'java-1.8.0-openjdk'-Pakete für Oracle Linux 6 (i386, x86_64).

Version 3 (2019-04-23 12:19)

Für Red Hat Enterprise Linux 6 und 7 sowie für Oracle Linux 6 und 7 stehen Sicherheitsupdates für 'java-1.7.0-openjdk' bereit, mit denen die Schwachstellen behoben werden. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux (RHEL) Desktop, Server und Workstation 6 und 7, RHEL Server EUS 7.6, AUS 7.6 und TUS 7.6, RHEL for Scientific Computing 6 und 7, RHEL EUS Compute Node 7.6 sowie RHEL for ARM 64 7 zur Verfügung.

Version 4 (2019-04-25 13:29)

Für Fedora 28 und 29 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-1.8.0.212.b04-0.fc28' und 'java-1.8.0-openjdk-1.8.0.212.b04-0.fc29' im Status 'testing' bereit, wodurch auf OpenJDK Version 8u212 aktualisiert wird. OpenJDK 8u212-b03 adressiert die Schwachstellen CVE-2019-2602, CVE-2019-2684 und CVE-2019-2698. Weiterhin wird ein möglicher Absturz in 'freetypescaler.c' aufgrund einer doppelten Speicherfreigabe (Double Free) behoben.

Version 5 (2019-04-26 11:15)

Für Fedora 28 und 29 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen CVE-2019-2602 und CVE-2019-2698 in 'java-11-openjdk' adressiert werden. Zusätzlich als sicherheitsrelevant werden in den Veröffentlichungshinweisen Verbesserungen bei der Speicherung von Class Data-Sharing (CDS) Archiven genannt. Das Sicherheitsupdate für Fedora 28 befindet sich im Status 'testing', während das Sicherheitsupdate für Fedora 29 noch den Status 'pending' besitzt.

Version 6 (2019-04-29 12:32)

Für das SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 steht ein Sicherheitsupdate für 'java-11-openjdk' zur Verfügung, um die beiden für den 11er Versionszweig relevanten Schwachstellen zu beheben.

Version 7 (2019-05-06 12:56)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'java-11-openjdk' zur Verfügung, um die beiden für den 11er Versionszweig relevanten Schwachstellen zu beheben.

Version 8 (2019-05-09 11:36)

Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.212.190430-1.fc29' und 'java-1.8.0-openjdk-aarch32-1.8.0.212.190430-1.fc30' im Status 'testing' bereit, wodurch auf OpenJDK Version 8u212 aktualisiert wird.

Version 9 (2019-05-13 12:43)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate in Form der Version 7u221-2.6.18-1~deb8u1 bereit, um die betreffenden Schwachstellen zu beheben. Für SUSE Linux Enterprise Module for Packagehub Subpackages 15, SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und SUSE Linux Enterprise Module for Legacy Software 15 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf Version 8u212 zur Verfügung, welches zusätzlich zur Behebung der betreffenden Schwachstellen eine korrigierte Mitigation der Schwachstelle CVE-2018-3639 bereitstellt.

Version 10 (2019-05-13 13:03)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'java-1.8.0-openjdk' bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux for x86_64 und Red Hat Enterprise Linux for ARM 64 8 zur Verfügung.

Version 11 (2019-05-14 13:04)

Canonical stellt OpenJDK-Sicherheitsupdates für Ubuntu 19.04, Ubuntu 18.10 und Ubuntu 18.04 LTS auf die Version 11.0.3 und für Ubuntu 16.04 LTS auf die Version 8u212 bereit, um die Schwachstellen CVE-2019-2602, CVE-2019-2684, CVE-2019-2697 und CVE-2019-2698 zu beheben. Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP2 und SP1, Server 12 SP4, SP3, SP2 LTSS, SP2 BCL und SP1 LTSS, Desktop 12 SP4 und SP3 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf die Version 8u212 zur Verfügung. SUSE adressiert damit, neben den in dieser Meldung aufgeführten Schwachstellen CVE-2019-2602, CVE-2019-2684 und CVE-2019-2698, auch drei Schwachstellen, die bereits im Zuge des Oracle Patchtages im Januar 2019 und über die Version 8u202 behoben wurden, für die SUSE derzeit allerdings keine Sicherheitsupdates veröffentlicht hat. Die Schwachstellen CVE-2018-11212, CVE-2019-2422 und CVE-2019-2426 ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs und das Ausspähen von Informationen. Zusätzlich führt SUSE noch die Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren, CVE-2018-3639, die ebenfalls das Ausspähen von Informationen ermöglicht, allerdings einem lokalen, einfach authentisierten Angreifer, als behandelt auf.

Version 12 (2019-05-23 17:37)

Für openSUSE Leap 15.0 und openSUSE Leap 42.3 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf die Version 8u212 zur Verfügung. Für openSUSE Leap 42.3 werden neben den in dieser Meldung aufgeführten Schwachstellen CVE-2019-2602, CVE-2019-2684 und CVE-2019-2698 auch drei Schwachstellen adressiert, die bereits im Zuge des Oracle Patchtages im Januar 2019 und über die Version 8u202 behoben wurden. Zur Auswirkung dieser Schwachstellen siehe vorheriges Update dieser Sicherheitsmeldung. Zusätzlich wird für beide Sicherheitsupdates wieder die Schwachstelle CVE-2018-3639 in der Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren als behandelt aufgeführt.

Version 13 (2019-05-31 12:55)

Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate für OpenJDK 8 bereit, um die Schwachstellen CVE-2019-2602, CVE-2019-2684 und CVE-2019-2698 zu beheben.

Version 14 (2019-06-19 13:13)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates zur Behebung der Schwachstellen CVE-2019-2602 und CVE-2019-2684 in 'java-11-openjdk' bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux for x86_64 und Red Hat Enterprise Linux for ARM 64 8 zur Verfügung.

Version 15 (2019-07-02 11:05)

Für die SUSE Linux Enterprise Module für Open Buildservice Development Tools und Legacy Software 15 SP1 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, mit denen die Software auf Version 8u212 aktualisiert wird.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen einem entfernten, nicht authentisierten Angreifer die Manipulation von Daten, einen Denial-of-Service (DoS)-Angriff und die vollständige Kompromittierung der Software.

Es stehen die aktuellen Versionen Java SE 12.0.1 und 11.0.3 (LTS) über das Java SE Development Kit (JDK) und alternativ Java SE 8u211 und 8u212 sowie Java SE Embedded 8u211 zum Download als Java SE Runtime Environment (JRE), Server JRE und Java SE Development Kit (JDK) zur Verfügung.

Schwachstellen:

CVE-2019-2602

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2019-2684

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2019-2697 CVE-2019-2698

Schwachstellen in Oracle Java SE ermöglichen Kompromittierung der Software

CVE-2019-2699

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.