2019-2161: Oracle Java SE, Java SE Embedded, OpenJDK, IBM Java SDK: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Daten

Historie:

Version 1 (2019-10-16 18:55)

Neues Advisory

Version 2 (2019-10-17 12:14)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produkte Server, Workstation, Desktop und for Scientific Computing sowie Server AUS, EUS und TUS in Version 7.7 und EUS Compute Node 7.7 Sicherheitsupdates für OpenJDK 8 und 11. Mittels der Sicherheitsupdates werden die für jeweilige Version relevanten Java-Schwachstellen behoben. Sicherheitsupdates für OpenJDK 8 und 11 werden ebenfalls für Oracle Linux 7 (aarch64, x86_64) bereitgestellt.

Version 3 (2019-10-17 13:54)

Für OpenJDK 7, 8, 11 und 13 stehen die Versionen 7u241, 8u232, 11.0.5 und 13.0.1 als Sicherheitsupdates bereit. Die Version 8u232 wird für Fedora 29, 30 und 31 als Sicherheitsupdate über 'java-1.8.0-openjdk-1.8.0.232.b09-0'-Pakete veröffentlicht. Die Updates befinden sich hier noch im Status 'pending'.

Version 4 (2019-10-17 17:35)

Für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1.8.0-openjdk' und 'java-11-openjdk' adressiert werden.

Version 5 (2019-10-18 11:01)

Für Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1.8.0-openjdk' und 'java-11-openjdk' adressiert werden. Ein weiteres Sicherheitsupdate steht für Red Hat Enterprise Linux 6 bereit. Hier wird ebenfalls 'java-1.8.0-openjdk' aktualisiert.

Version 6 (2019-10-21 12:11)

Für Fedora 29, 30 und 31 stehen Sicherheitsupdates jeweils in Form des Pakets 'java-11-openjdk-11.0.5.10-0' im Status 'testing' bereit, mit denen die Schwachstellen in 'java-11-openjdk' adressiert werden. Für Oracle Linux 6 stehen Sicherheitsupdates für 'java-1.8.0-openjdk' zur Verfügung.

Version 7 (2019-10-21 17:51)

Debian stellt für die stabile Distribution Buster (10.1) ein Sicherheitsupdate für 'openjdk-11' auf Version 11_11.0.5+10-1~deb10u1 bereit.

Version 8 (2019-10-22 10:27)

Für Red Hat Enterprise Linux sowie Oracle Linux 6 und 7 stehen aktualisierte Pakete für 'java-1.7.0-openjdk' als Sicherheitsupdates zur Behebung der Schwachstellen im OpenJDK 7 Java Runtime Environment (JRE) und im OpenJDK 7 Java Software Development Kit (SDK) bereit.

Version 9 (2019-10-22 14:29)

Für die alte stabile Distribution Debian Stretch steht ein Sicherheitsupdate für 'openjdk-8' auf Version 8u232-b09-1~deb9u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 10 (2019-10-28 10:48)

Für Fedora 29, 30 und 31 sowie für Fedora EPEL 8 stehen Sicherheitsupdates für OpenJDK 13 auf die aktuelle Version 13.0.1.9 im Status 'testing' bereit.

Version 11 (2019-10-30 17:25)

Für Fedora EPEL 7 steht ein Sicherheitsupdate für OpenJDK 13 auf die aktuelle Version 13.0.1.9 im Status 'testing' bereit.

Version 12 (2019-11-11 13:09)

Für Fedora 29, 30 und 31 stehen Sicherheitsupdates für OpenJDK auf die Version 8u232 in Form von 'java-1.8.0-openjdk-aarch32-1.8.0.232.b09-1'-Paketen im Status 'testing' bereit.

Version 13 (2019-11-19 10:08)

Für die SUSE Linux Enterprise Module für Basesystem und Open Buildservice Development Tools 15 und 15 SP1 stehen Sicherheitsupdates bereit, mit denen 'java-11-openjdk' auf Version 'jdk-11.0.5-10' aktualisiert wird.

Version 14 (2019-11-25 10:16)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'java-11-openjdk' auf Version jdk-11.0.5-10 zur Verfügung.

Version 15 (2019-11-26 09:39)

Für openSUSE Leap 15.1 steht ebenfalls ein Sicherheitsupdate für 'java-11-openjdk' auf Version jdk-11.0.5-10 zur Verfügung.

Version 16 (2019-11-28 10:33)

Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate bereit, mit dem Schwachstellen in 'java-11-openjdk' behoben werden. Für SUSE Enterprise Storage 5, SUSE OpenStack Cloud 7 und 8, SUSE OpenStack Cloud Crowbar 8, für SUSE Linux Enterprise Desktop 12 SP4, SUSE Linux Enterprise Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL und SP1 LTSS sowie für SUSE Linux Enterprise Server for SAP 12 SP3, SP2 und SP1 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'java-1_7_0-openjdk' bereit.

Version 17 (2019-12-06 11:06)

IBM informiert darüber, dass die Schwachstellen auch IBM SDK Java Technology Edition betreffen können und stellt die Versionen 7.0.10.55, 7.1.4.55, 8.0.6.0 und 8.0.6.5 als Sicherheitsupdates bereit. Die Schwachstelle CVE-2019-2949 wird laut Hersteller erst im ersten Quartal 2020 behoben. Für Red Hat Enterprise Linux Desktop, Server und Workstation 6 und 7 sowie für Red Hat Enterprise Linux for Scientific Computing 6 und 7 stehen Sicherheitsupdates für 'java-1.7.1-ibm' auf Version 7R1 SR4-FP55 (7.1.4.55) bereit.

Version 18 (2019-12-09 09:56)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'openjdk-7' auf Basis von Version 7u241 bereit, mit dem die relevanten Schwachstellen adressiert werden.

Version 19 (2019-12-09 15:25)

Für Red Hat Enterprise Linux 6 Supplementary steht ein Sicherheitsupdate bereit, mit dem 'java-1.8.0-ibm' auf Version 8 SR6 aktualisiert wird.

Version 20 (2019-12-10 11:06)

Dieser Sicherheitshinweis wurde um die Schwachstelle CVE-2019-17631 erweitert, die mit dem Java SDK Version 8, Service Refresh 6 behoben wurde. Für die Red Hat Enterprise Linux 7 Varianten Server, Workstation, Desktop und RHEL 7 for Scientific Computing stehen Sicherheitsupdates bereit, mit dem 'java-1.8.0-ibm' auf diese Version aktualisiert wird.

Version 21 (2019-12-10 18:01)

Für die SUSE Linux Enterprise Produkte Module for Packagehub Subpackages 15, Module for Open Buildservice Development Tools 15 und 15 SP1 sowie Module for Legacy Software 15 und 15 SP1 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' (jdk8u232/icedtea 3.14.0) bereit, um die betreffenden Schwachstellen zu beheben.

Version 22 (2019-12-11 19:30)

IBM informiert darüber, dass zahlreiche Schwachstellen in IBM Java SDK auch WebSphere Application Server betreffen. Im Einzelnen sind dies IBM SDK, Java Technology Editions verwendet mit WebSphere Application Server Liberty, IBM SDK, Java Technology Editions verwendet mit IBM WebSphere Application Server Traditional Versionen 9.0.0.0 bis 9.0.5.1 und 8.5.0.0 bis 8.5.5.16 sowie IBM SDK, Java Technology Editions ausgeliefert im Application Client für IBM WebSphere Application Server Versionen 9.0.0.0 bis 9.0.5.1 und 8.5.0.0 bis 8.5.5.16. Für die verschiedenen IBM SDK, Java Technology Edition Versionen stehen jeweils Interim Fixes zur Verfügung.

Version 23 (2019-12-16 10:17)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf Basis von Version 8u232 bereit, mit dem die dafür relevanten Schwachstellen behoben werden.

Version 24 (2019-12-18 09:58)

Canonical stellt für Ubuntu 19.10, 19.04, 18.04 LTS und 16.04 LTS Sicherheitsupdates für 'openjdk-8' und 'openjdk-lts' bereit, um die betreffenden Schwachstellen zu beheben. OpenJDK 8 wird damit auf Version 8u232 und OpenJDK 11 auf Version 11.0.5 aktualisiert.

Version 25 (2020-01-02 16:57)

Für SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP1 sowie SUSE Linux Enterprise Module for Legacy Software 15 und 15 SP1 stehen Sicherheitsupdates für 'java-1_8_0-ibm' auf Java 8.0 Service Refresh 6 bereit, um 16 Schwachstellen zu beheben.

Version 26 (2020-01-02 18:38)

Red Hat veröffentlicht für Red Hat Satellite 5.8 ein Sicherheitsupdate für ' java-1.8.0-ibm' auf die IBM Java SE 8 Version 8 SR6.

Version 27 (2020-01-08 10:07)

Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 8 und 7, SUSE Linux Enterprise Software Development Kit 12 SP5 und SP4, SUSE Linux Enterprise Server for SAP 12 SP3, SP2 und SP1, SUSE Linux Enterprise Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL und SP1 LTSS, SUSE Enterprise Storage 5 sowie Red Hat Enterprise Linux 8 und 8.1 EUS stehen Sicherheitsupdates für IBM Java SE 8 auf Version 8 SR6 bereit. In SUSE Linux Enterprise Desktop 12 SP4 sowie USE Linux Enterprise Server 12 SP5 und SP4 wird 'java-1_8_0-openjdk' auf Version 8u232 aktualisiert.

Version 28 (2020-01-09 10:25)

Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate bereit, mit dem 'java-1_7_1-ibm' auf Version 7.1 Service Refresh 4 Fix Pack 55 aktualisiert wird.

Version 29 (2020-01-09 18:03)

Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP4 und 12 SP5, Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4, 12 SP5 und Storage 5 stehen Sicherheitsupdates bereit, mit denen 'java-1_7_1-ibm' auf Version 7.1 Service Refresh 4 Fix Pack 55 aktualisiert wird.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen einem entfernten, nicht authentisierten Angreifer die Manipulation von Daten, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen von Informationen

Es stehen die aktuellen Versionen Java SE 13.0.1 und 11.0.5 (LTS) über das Java SE Development Kit (JDK) und alternativ Java SE 8u231 sowie Java SE Embedded 8u231 zum Download als Java SE Runtime Environment (JRE), Server JRE und Java SE Development Kit (JDK) zur Verfügung.

Schwachstellen:

CVE-2019-11068

Schwachstelle in libxslt ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-17631

Schwachstelle in Eclipse OpenJ9 ermöglicht Privilegieneskalation

CVE-2019-2894

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2933

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2945

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2019-2949

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2019-2958

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2019-2962 CVE-2019-2964 CVE-2019-2973 CVE-2019-2978 CVE-2019-2981 CVE-2019-2983 CVE-2019-2988 CVE-2019-2992

Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen Denial-of-Service-Angriffe

CVE-2019-2975

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-2977

Schwachstelle in Oracle Java SE ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-2987

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2019-2989

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2019-2996

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht u. a. Manipulation von Daten

CVE-2019-2999

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.