2019-1584: IBM Java SDK: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-08-05 17:37)

Neues Advisory

Version 2 (2019-08-15 16:35)

Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten for Scientific Computing, Desktop, Workstation und Server stehen jeweils Sicherheitsupdates für 'java-1.7.1-ibm' auf die IBM Java SE Version 7R1 SR4-FP50 zur Verfügung, um die betreffenden Schwachstellen zu beheben.

Version 3 (2019-09-02 13:15)

Für die Red Hat Enterprise Linux 7 Produktvarianten for Scientific Computing, Desktop, Workstation und Server stehen jeweils Sicherheitsupdates für 'java-1.8.0-ibm' auf die IBM Java SE Version 8 SR5-FP40 zur Verfügung, um die betreffenden Schwachstellen zu beheben.

Version 4 (2019-09-02 16:45)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für 'java-1.8.0-ibm' bereit. Die Updates stehen unter anderem für Red Hat Enterprise Linux for x86_64 8 zur Verfügung. IBM Java SE 8 wird damit auf die Version 8 SR5-FP40 aktualisiert.

Version 5 (2019-09-03 13:59)

Für die Red Hat Enterprise Linux 6 Produktvarianten for Scientific Computing (x86_64), Desktop (x86_64, i386), Workstation (x86_64, i386) und Server (x86_64, i386) stehen Sicherheitsupdates für 'java-1.8.0-ibm' auf die IBM Java SE Version 8 SR5-FP40 zur Verfügung, um die betreffenden Schwachstellen zu beheben.

Version 6 (2019-09-04 16:42)

Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate auf die Java Version 7.1 Service Refresh 4 Fix Pack 50 in Form eines aktualisierten 'java-1_7_1-ibm'-Paketes zur Verfügung.

Version 7 (2019-09-05 11:23)

Für die SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP1, for Legacy Software 15 SP1 und 15 stehen Sicherheitsupdates auf die IBM Java Version 8.0 Service Refresh 5 Fix Pack 40 zur Behebung der referenzierten Schwachstellen zur Verfügung. Zusätzlich listet SUSE zwei ältere Schwachstellen, CVE-2018-11212 und CVE-2019-2449, als behoben auf, die von IBM bereits mit der Version 8.0 Service Refresh 5 Fix Pack 27 adressiert wurden.

Version 8 (2019-09-10 12:56)

Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP4 und 12 SP5, Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 BCL, 12 SP3 LTSS, 12 SP4 und 12 SP5 sowie SUSE OpenStack Cloud 7 und 8, SUSE OpenStack Cloud Crowbar 8 und SUSE Enterprise Storage 4 und 5 stehen Sicherheitsupdates auf die IBM Java Version 7.1 Service Refresh 4 Fix Pack 50 zur Behebung der referenzierten Schwachstellen zur Verfügung.

Version 9 (2019-09-12 11:06)

Red Hat stellt für Red Hat Satellite 5.8 ein Upgrade auf die IBM Java SE Version 8 SR5 FP40 als Sicherheitsupdate bereit und behebt damit ein Großteil der referenzierten Schwachstellen.

Version 10 (2019-09-13 11:47)

SUSE stellt für die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP5 und SP4, Server for SAP 12 SP3, SP2 und SP1, Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL und SP1 LTSS sowie SUSE OpenStack Cloud 7, 8 und Crowbar 8, Enterprise Storage 4 und 5 Sicherheitsupdates auf die IBM Java Version 8.0 Service Refresh 5 Fix Pack 40 zur Verfügung. In der Sicherheitsmeldung werden von SUSE auch noch zwei ältere Denial-of-Service-Schwachstellen, die schon mit früheren Java Versionen behoben wurden, referenziert.

Version 11 (2019-10-10 18:46)

IBM informiert darüber, dass die Schwachstellen in den IBM SDK Java Technology Edition Versionen 7, 7.1 und 8 auch AIX 7.1 und 7.2 sowie VIOS 2.2 und 3.1 betreffen und dass die verfügbaren Sicherheitsupdates installiert werden sollten.

Version 12 (2019-10-23 18:00)

IBM informiert darüber, dass die Schwachstellen in den IBM SDK Java Technology Edition Versionen 7, 7.1 und 8 auch Db2 9.7, 10.1, 10.5, 11.1 und 11.5 betreffen und dass die verfügbaren Sicherheitsupdates installiert werden sollten.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung verschiedener Denial-of-Service (DoS)-Angriffe, das Ausspähen von Informationen, die Manipulation von Dateien und möglicherweise die Ausführung beliebigen Programmcodes. Mehrere weitere Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, die Eskalation von Privilegien und möglicherweise weitere Angriffe.

IBM informiert darüber, dass die mit dem Oracle Juli 2019 Critical Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Edition, in den Versionen 7, 7R1 und 8 betreffen. Weiterhin führt der Hersteller vier zusätzliche Schwachstellen auf, unter anderem in Eclipse, und stellt die Version 7 Service Refresh 10 Fix Pack 50, Version 7R1 Service Refresh 4 Fix Pack 50 sowie die Version 8 Service Refresh 5 Fix Pack 40 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2019-11771

Schwachstelle in Eclipse OpenJ9 ermöglicht u. a. die Ausführung beliebigen Programmcodes

CVE-2019-11772

Schwachstelle in Eclipse OpenJ9 ermöglicht u. a. die Ausführung beliebigen Programmcodes

CVE-2019-11775

Schwachstelle in Eclipse OpenJ9 ermöglicht u. a. die Ausführung beliebigen Programmcodes

CVE-2019-2762

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2019-2766

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2769

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2019-2786

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2816

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen und Manipulation von Daten

CVE-2019-4473

Schwachstelle in IBM SDK ermöglicht u. a. die Ausführung beliebigen Programmcodes

CVE-2019-7317

Schwachstelle in Mozilla Firefox und Thunderbird / AWT (libpng) ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.