2019-1452: Oracle Java SE, Java SE Embedded, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-07-17 18:35)

Neues Advisory

Version 2 (2019-07-19 12:18)

Für Fedora 29 und 30 stehen Sicherheitsupdates im Status 'testing' bereit, mit denen 'java-latest-openjdk' auf die Version 12.0.2 aktualisiert wird. Hierbei wird die JRE Security Baseline 12.0.2+9 verwendet, die neueste Version des Herstellers hat die Baseline 12.0.2+10.

Version 3 (2019-07-23 11:16)

Red Hat veröffentlicht für verschiedene Red Hat Enterprise Linux 7 und 8 Produktvarianten Sicherheitsupdates für OpenJDK 8 und OpenJDK 11. Für mehrere Red Hat Enterprise Linux 6 Produkte stehen Sicherheitsupdates für OpenJDK 8 zur Verfügung. Oracle stellt korrespondierend dazu Sicherheitsupdates für Oracle Linux 6 (i386, x86_64) für das Paket 'java-1.8.0-openjdk ' breit und für Oracle Linux 7 (x86_64) für die Pakete 'java-1.8.0-openjdk' und 'java-11-openjdk', um jeweils die in dem Versionszweig vorhandenen Schwachstellen zu beheben. Für Fedora EPEL 7 steht ein Sicherheitsupdate für OpenJDK auf die Version 12.0.2 in Form des Paketes 'java-latest-openjdk-12.0.2.9-1.rolling.el7' im Status 'testing' zur Verfügung.

Version 4 (2019-07-24 13:46)

Red Hat veröffentlicht für verschiedene Red Hat Enterprise Linux 6 und 7 Produktvarianten Sicherheitsupdates für OpenJDK 7. Oracle stellt korrespondierend dazu ein Sicherheitsupdate für Oracle Linux 7 (x86_64) für das Paket 'java-1.7.0-openjdk' bereit. Für Debian Stretch (oldstable) steht ein Sicherheitsupdate für 'openjdk-8' zur Verfügung, für Debian Buster (stable) wird 'openjdk-11' entsprechend aktualisiert.

Version 5 (2019-07-25 11:26)

Für Oracle Linux 6 steht jetzt auch ein Sicherheitsupdate für 'java-1.7.0-openjdk' zur Verfügung.

Version 6 (2019-07-29 12:28)

Für die Distributionen Fedora 29 und Fedora 30 stehen Sicherheitsupdates auf die OpenJDK Version 11.0.4 zur Behebung der in dem Versionszweig vorhandenen Schwachstellen im Status 'testing' zur Verfügung.

Version 7 (2019-07-31 14:07)

Für die SUSE Linux Enterprise Module für Packagehub Subpackages 15, Open Buildservice Development Tools 15 und 15 SP1 sowie Legacy Software 15 und 15 SP1 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, mit denen die Software auf Version 8u222 aktualisiert wird. Canonical stellt für Ubuntu 16.04 LTS ebenfalls die Version 8u222 für OpenJDK 8 bereit.

Version 8 (2019-08-01 12:14)

Für SUSE Linux Enterprise Desktop und Server 12 SP4 stehen Sicherheitsupdates bereit, mit denen 'java-1_7_0-openjdk' auf Version 7u231 aktualisiert wird. Canonical veröffentlicht Sicherheitsupdates zur Behebung der Schwachstellen in OpenJDK 11 (openjdk-lts) für Ubuntu 19.04 und Ubuntu 18.04 LTS.

Version 9 (2019-08-02 11:16)

Für Fedora 29 und 30 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'java-1.8.0-openjdk' im Status 'testing' bereit. SUSE stellt ebenfalls Sicherheitsupdate für verschiedene Produkte zur Verfügung: 'java-1.8.0-openjdk' wird hier für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8, SUSE Linux Enterprise Server for SAP 12 SP1, SP2 und SP3, SUSE Linux Enterprise Server 12 SP1 LTSS, SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 und SP5, SUSE Linux Enterprise Desktop 12 SP4 und SP5, SUSE Enterprise Storage 4 und 5 sowie HPE Helion Openstack 8 erneuert. Die Software wird damit jeweils auf Version 8u222 aktualisiert.

Version 10 (2019-08-06 16:24)

Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64) Sicherheitsupdates für OpenJDK 8 auf die Version 1.8.0.222, um die für diesen Versionszweig relevanten Schwachstellen zu beheben. Zur gleichen Zeit stellt Oracle auch Sicherheitsupdates auf die ältere Version 1.8.0.212 bereit, in der ebenfalls (hier nicht aufgelistete) Schwachstellen behoben wurden, die erstmalig im Zuge des Oracle Patchtages im April adressiert wurden. Analog stellt Oracle Sicherheitsupdates für OpenJDK 11 zur Verfügung. Über die neueste Version wird mittels der Meldung ELSA-2019-1817 (openjdk-11.0.4.11) informiert, die Meldung ELSA-2019-1518 (openjdk-11.0.3.7) bezieht sich ebenfalls auf den Oracle April Patchtag. Die Software sollte stets auf die neueste verfügbare Version aktualisiert werden.

Version 11 (2019-08-15 17:59)

Für openSUSE Leap 15.0 und 15.1 stehen Sicherheitsupdates für 'java-11-openjdk' auf Version 'jdk-11.0.4+11' und 'java-1_8_0-openjdk' auf Version '8u222' zur Verfügung.

Version 12 (2019-08-16 13:22)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate von 'openjdk-7' bereit, um die Schwachstellen CVE-2019-2745, CVE-2019-2762, CVE-2019-2769 und CVE-2019-2816 zu beheben.

Version 13 (2019-08-19 14:05)

Für SUSE Enterprise Storage 5 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf Version 8u222 bereit, um acht Schwachstellen und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.

Version 14 (2019-09-17 16:12)

Für Fedora 29, 30 und 31 stehen Sicherheitsupdates von OpenJDK 8 auf die Version 1.8.0.222 für die Plattform 'aarch32' in Form der Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.222.b10-1' im Status 'testing' bereit.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in der Komponente AWT (libpng) von Java SE und Java SE Embedded, die auch Mozilla Firefox und Thunderbird betrifft, ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs und möglicherweise die Ausführung beliebigen Programmcodes. Mehrere Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen einem meist entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen, das Ausspähen von Informationen und die Manipulation von Daten.

Es stehen die aktuellen Versionen Java SE 12.0.2 und 11.0.4 (LTS) über das Java SE Development Kit (JDK) und alternativ Java SE 8u221 sowie Java SE Embedded 8u221 zum Download als Java SE Runtime Environment (JRE), Server JRE und Java SE Development Kit (JDK) zur Verfügung. Oracle weist darauf hin, dass mit JDK 9 Java SE 8 Embedded nicht mehr separat zur Verfügung gestellt wird.

Schwachstellen:

CVE-2019-2745

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2019-2762 CVE-2019-2769

Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen Denial-of-Service-Angriff

CVE-2019-2766

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2786

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2816

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen und Manipulation von Daten

CVE-2019-2818

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2019-2821

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2019-2842

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2019-7317

Schwachstelle in Mozilla Firefox und Thunderbird / AWT (libpng) ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.