2020-0095: Oracle Java SE, Java SE Embedded, OpenJDK, IBM Java SDK: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2020-01-15 17:22): Neues Advisory
Version 2 (2020-01-17 13:02): Red Hat stellt für die Red Hat Enterprise Linux Produkte Server, for Scientific Computing, Workstation und Desktop in Version 7, Red Hat Enterprise Linux for x86_64 - Extended Update Support 7.7, EUS Compute Node 7.7 und Server AUS und TUS 7.7 sowie für Red Hat Enterprise Linux 8 und Red Hat Enterprise Linux - Extended Update Support 8.1 jeweils für x86_64- und ARM-Architekturen Sicherheitsupdates für 'java-11-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.
Version 3 (2020-01-20 12:27): Für die stabile Distribution Debian Buster steht ein Sicherheitsupdate für 'openjdk-11' auf Version 11.0.6+10-1~deb10u1 zur Behebung der betreffenden Schwachstellen bereit.
Version 4 (2020-01-21 10:28): Für Red Hat Enterprise Linux 6 steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'java-1.8.0-openjdk' behoben werden. Weitere Sicherheitsupdates für 'java-11-openjdk' stehen für SUSE Linux Enterprise Server 12 SP5 und Oracle Linux 8 zur Verfügung.
Version 5 (2020-01-21 10:59): Für Oracle Linux 6 steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'java-1.8.0-openjdk' behoben werden.
Version 6 (2020-01-22 10:43): Für Fedora 30 und 31 sowie für Fedora EPEL 7 und 8 stehen Sicherheitsupdates für OpenJDK 13 in Form von 'java-latest-openjdk-13.0.2.8-1.rolling'-Paketen im Status 'testing' bzw. 'pending' (nur Fedora 31) bereit, um die betreffenden Schwachstellen zu beheben. Darüber hinaus stehen für Red Hat Enterprise Linux 7 und Oracle Linux 7 aktualisierte 'java-1.8.0-openjdk'-Pakete bereit.
Version 7 (2020-01-23 11:09): Für die SUSE Linux Enterprise Produkte High Performance Computing 15 ESPOS und 15 LTSS, Module for Basesystem 15 und 15 SP1, Module for Open Buildservice Development Tools 15 und 15 SP1, Server 15 LTSS sowie Server for SAP 15 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'java-11-openjdk' bereit, womit die Software auf Version jdk-11.0.6-10 (Januar 2020 CPU) aktualisiert wird.
Version 8 (2020-01-23 12:14): Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (aarch64, x86_64) und Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.1 (aarch64, x86_64) sowie Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1.8.0-openjdk' behoben werden.
Version 9 (2020-01-27 10:11): Für die SUSE Linux Enterprise Produkte Module for Legacy Software 15 und 15 SP1, Module for Open Buildservice Development Tools 15 und SP1, Module for Packagehub Subpackages 15, Server 15 LTSS, und Server for SAP 15 stehen Sicherheitsupdates bereit, mit denen 'java-1_8_0-openjdk' auf Version 8u242 aktualisiert wird.
Version 10 (2020-01-28 13:49): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'java-11-openjdk' auf Version jdk-11.0.6-10 (January 2020 CPU) bereit, um die betreffenden sieben Schwachstellen zu beheben.
Version 11 (2020-01-29 13:05): Für Fedora 30 und 31 stehen Sicherheitsupdates auf die OpenJDK Version 11.0.6 entsprechend des Januar 2020 CPU (Critical Patch Update) Releases in Form von 'java-11-openjdk-11.0.6.10-0'-Paketen im Status 'pending' zur Verfügung. Canonical veröffentlicht für Ubuntu 19.10 und Ubuntu 18.04 LTS Sicherheitsupdates für OpenJDK 8 und 11 zur Behebung der in der jeweiligen Version enthaltenen, referenzierten Schwachstellen. Für Ubuntu 16.04 LTS stehen Sicherheitsupdates für OpenJDK 8 bereit.
Version 12 (2020-01-30 11:12): Für Fedora 30 und 31 werden Sicherheitsupdates für OpenJDK 8 in Form von 'java-1.8.0-openjdk-1.8.0.242.b08-0'-Paketen im Status 'pending' bereitgestellt. Durch die Aktualisierung auf die Version OpenJDK 8u242 werden die für diesen Versionszweig relevanten, hier referenzierten Schwachstellen behoben. openSUSE veröffentlicht für die Distribution openSUSE Leap 15.1 ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf die Version jdk8u242 und behebt damit insgesamt sieben der aufgeführten Schwachstellen.
Version 13 (2020-01-30 13:29): Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 und 12 SP5, Desktop 12 SP4 sowie Storage 5 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf die Version jdk8u242 bereit, welche damit insgesamt sieben der aufgeführten Schwachstellen beheben.
Version 14 (2020-02-05 10:01): IBM veröffentlicht für IBM SDK Technology Edition die Versionen 7 SR10-FP60 (7.0.10.60), 7R1 SR4-FP60 (7.1.4.60) und 8 SR6-FP5 (8.0.6.5) als Sicherheitsupdates zur Behebung der Schwachstellen. Für Java SDK8 wird zusätzlich die Schwachstelle CVE-2019-4732 adressiert, die einem lokalen, einfach authentifizierten Angreifer mit erweiterten Privilegien die Ausführung beliebigen Programmcodes auf Windows ermöglicht.
Version 15 (2020-02-11 11:55): Für Red Hat Enterprise Linux 6 und 7 Supplementary stehen Sicherheitsupdates für IBM Java SE 7 auf Version 7R1 SR4-FP60 und für IBM Java SE 8 auf Version 8 SR6-FP5 bereit, um die betreffenden Schwachstellen zu beheben.
Version 16 (2020-02-11 15:53): Für Red Hat Enterprise 7 Supplementary steht nun auch das Sicherheitsupdates für IBM Java SE 8 (java-1.8.0-ibm) auf Version 8 SR6-FP5 bereit, um die betreffenden Schwachstellen zu beheben.
Version 17 (2020-02-12 15:45): Red Hat veröffentlicht u. a. für Red Hat Enterprise Linux for x86_64 8 und EUS 8.1 Sicherheitsupdates für IBM Java SE 8 (java-1.8.0-ibm) auf Version 8 SR6-FP5, um die Schwachstellen CVE-2020-2583, CVE-2020-2593, CVE-2020-2604 und CVE-2020-2659 zu beheben.
Version 18 (2020-02-13 13:29): Für die alte stabile Distribution Debian Stretch steht ein Sicherheitsupdate für 'openjdk-8' auf Version 8u242-b08-1~deb9u1 zur Behebung der betreffenden Schwachstellen bereit.
Version 19 (2020-02-19 11:28): Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für 'java-1.7.0-openjdk' zur Verfügung, welche die hierfür relevanten Schwachstellen beheben.
Version 20 (2020-02-20 12:39): Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produkte Server, Workstation, Desktop und Scientific Computing, Linux for x86_64 EUS 7.7, EUS Compute Node 7.7, Server AUS und TUS 7.7 Sicherheitsupdates für OpenJDK 7, um sieben der hier aufgeführten Schwachstellen in dem Versionszweig zu beheben.
Version 21 (2020-02-24 10:32): Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate bereit, mit dem 'java-1_7_1-ibm' auf Version 7.1 Service Refresh 4 Fix Pack 60 (7.1.4.60) aktualisiert wird.
Version 22 (2020-02-25 17:22): Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 und 12 SP5, Software Development Kit 12-SP4 und 12 SP5 sowie Storage 5 stehen Sicherheitsupdates für 'java-1_7_1-ibm' auf die Version 7.1 Service Refresh 4 Fix Pack 60 bereit. Für die SUSE Linux Enterprise Produkte Module for Legacy Software 15 und 15 SP1, Module for Open Buildservice Development Tools 15 SP1, Server 15 LTSS und Server for SAP 15 stehen Sicherheitsupdates bereit, mit denen 'java-1_8_0-ibm' auf Version 8.0 Service Refresh 6 Fix Pack 5 aktualisiert wird.
Version 23 (2020-02-28 14:38): Für die Red Hat Enterprise Linux 6 Produktvarianten Server, Workstation, Desktop und Scientific Computing stehen Sicherheitsupdates für 'java-1.7.0-openjdk' zur Behebung der Schwachstellen zur Verfügung. Oracle veröffentlicht OpenJDK 7-Sicherheitsupdates für Oracle Linux 6 (i386, x86_64).
Version 24 (2020-02-28 18:10): Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 und 12 SP5, Software Development Kit 12 SP4 und 12 SP5 sowie Storage 5 stehen Sicherheitsupdates für 'java-1_8_0-ibm' auf die Version 8 Service Refresh 6 Fix Pack 5 bereit.
Version 25 (2020-03-02 10:37): Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate bereit, mit dem 'openjdk-7' auf Version 7u251 aktualisiert wird.
Version 26 (2020-03-05 11:08): Für Fedora 30 und 31 stehen Sicherheitsupdates in Form von 'java-1.8.0-openjdk-aarch32-1.8.0.242.b07-1'-Paketen im Status 'testing' bereit, mit denen OpenJDK auf die Version 8u242 aktualisiert wird.
Version 27 (2020-03-11 11:15): Für SUSE OpenStack Cloud 7, 8 und Crowbar 8, SUSE Enterprise Storage 5 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP3, SP2 und SP1, Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL und SP1 LTSS sowie Desktop 12 SP4 stehen Sicherheitsupdates auf die OpenJDK Version jdk7u251 zur Verfügung.
Version 28 (2020-03-13 13:46): IBM informiert darüber, dass die Schwachstelle CVE-2020-2654, welche als Teil des Oracle January 2020 Critical Patch Updates veröffentlicht wurde, IBM SDK Technology Edition in den Versionen 7 SR10-FP60 (7.0.10.60), 7R1 SR4-FP60 (7.1.4.60) und 8 SR6-FP5 (8.0.6.5) noch betrifft, kündigt die Versionen 7 SR10-FP65 (7.0.10.65) und 7R1 SR4-FP65 (7.1.4.65) als Sicherheitsupdates zur Behebung der Schwachstelle für das 2. Quartal 2020 an und hat die Version 8 SR6-FP6 (8.0.6.6) als Sicherheitsupdate veröffentlicht.
Version 29 (2020-03-17 17:58): Red Hat veröffentlicht für Red Hat Satellite 5.8 ein Sicherheitsupdate für ' java-1.8.0-ibm' auf die IBM Java SE 8 Version 8 SR6-FP5.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen einem zumeist entfernten Angreifer die vollständige Kompromittierung der Software, die Manipulation von Daten, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen von Informationen. In zwei Fällen erfordert eine erfolgreiche Ausnutzung der Schwachstelle eine Benutzerinteraktion und in ebenfalls zwei Fällen kann ein erfolgreicher Angriff Auswirkungen auf andere Komponenten haben.

Es stehen die aktuellen Versionen Java SE 13.0.2 und 11.0.6 (LTS) über das Java SE Development Kit (JDK) und alternativ Java SE 8u241 und 7u251 sowie Java SE Embedded 8u241 zum Download als Java SE Runtime Environment (JRE), Server JRE und Java SE Development Kit (JDK) zur Verfügung.

Die Schwachstellen CVE-2019-16168, CVE-2019-13117 und CVE-2019-13118 betreffen laut Oracle die aktuelle Version Java SE 8u241.

Schwachstellen:

CVE-2019-13117

Schwachstelle in libxslt ermöglicht Ausspähen von Informationen

CVE-2019-13118

Schwachstelle in libxslt ermöglicht Ausspähen von Informationen

CVE-2019-16168

Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

CVE-2019-4732

Schwachstelle in IBM Java SDK ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-2583

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2020-2585

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2020-2590

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2020-2593

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht u. a. Manipulation von Daten

CVE-2020-2601

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2020-2604

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der Software

CVE-2020-2654

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2020-2655

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

CVE-2020-2659