2019-0887: IBM Java SDK: Mehrere Schwachstellen ermöglichen u. a. die Kompromittierung der Software

Historie:

Version 1 (2019-05-02 19:21): Neues Advisory
Version 2 (2019-05-14 13:09): Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten for Scientific Computing, Desktop, Workstation und Server stehen jeweils Sicherheitsupdates für 'java-1.7.1-ibm' und 'java-1.8.0-ibm' auf die IBM Java SE Version 7R1 SR4-FP45 bzw. Version 8 SR5-FP35 zur Verfügung, um diese Schwachstellen zu beheben.
Version 3 (2019-05-22 14:40): Für SUSE Linux Enterprise Module for Legacy Software 15 steht ein Sicherheitsupdate für 'java-1_8_0-ibm' auf Java 8.0 Service Refresh 5 Fix Pack 35 und für SUSE Linux Enterprise Server 11 SP4 LTSS ein solches für 'java-1_7_1-ibm' auf Java 7.1 Service Refresh 4 Fix Pack 45 bereit, um diese Schwachstellen zu beheben.
Version 4 (2019-05-27 14:42): Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP2 und SP1, Server 12 SP4, SP3, SP2 LTSS, SP2 BCL, SP1 LTSS und LTSS, Software Development Kit 12 SP4 und SP3 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'java-1_7_1-ibm' auf die Version 7.1 Service Refresh 4 Fix Pack 45 bereit.
Version 5 (2019-06-04 19:22): Für Red Hat Satellite 5.8 steht ein Sicherheitsupdate für 'java-1.8.0-ibm' auf die IBM Java SE Version 8 SR5-FP35 zur Verfügung, um diese Schwachstellen zu beheben.
Version 6 (2019-06-24 12:56): Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und 12 SP2, Server 12 SP1 LTSS, 12 SP2 LTSS, 12 SP2 BCL, 12 SP3 und 12 SP4, Software Development Kit 12 SP3 und 12 SP4 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'java-1_8_0-ibm' auf die Version 8.0 Service Refresh 5 Fix Pack 35 bereit.
Version 7 (2019-06-27 18:14): Für SUSE Linux Enterprise Module for Legacy Software 15 SP1 und SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP1 stehen Sicherheitsupdatese für 'java-1_8_0-ibm' auf Java 8.0 Service Refresh 5 Fix Pack 35 bereit, um diese Schwachstellen zu beheben.
Version 8 (2019-07-01 12:06): Fir AIX 7.1 und 7.2 sowie für VIOS 2.2.x stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in IBM SDK Java Technology Edition behoben werden. Als fehlerbereinigte Versionen werden 7.0.0.645, 7.1.0.445 und 8.0.0.535 bereitgestellt.

Betroffene Software

Entwicklung

Betroffene Plattformen

Netzwerk
Cloud
IBM
Linux
UNIX

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Kompromittierung der betroffenen Software, die Manipulation von Daten und verschiedene Denial-of-Service (DoS)-Angriffe.

IBM informiert darüber, dass die mit dem Oracle Critical Patch Update im April 2019 veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Edition betreffen. Der Hersteller führt eine zusätzliche Schwachstelle in Eclipse OpenJ 9 auf.

IBM stellt die Versionen 7 Service Refresh 10 Fix Pack 45 (7.0.10.45), 7R1 Service Refresh 4 Fix Pack 45 (7.1.4.45) sowie 8 Service Refresh 5 Fix Pack 35 (8.0.5.35) als Sicherheitsupdates für das IBM SDK, Java Technology Edition zur Behebung der fünf Schwachstellen bereit.

Schwachstellen:

CVE-2019-10245

Schwachstelle in Eclipse OpenJ9 ermöglicht Denial-of-Service-Angriff

CVE-2019-2602

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2019-2684

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2019-2697

Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der Software

CVE-2019-2698