2020-0771: Oracle Java SE, Java SE Embedded: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2020-04-15 14:29)

Neues Advisory

Version 2 (2020-04-21 17:48)

Für Red Hat Enterprise Linux 6 (in den Produktvarianten Server, Workstation, Desktop und for Scientific Computing) stehen Sicherheitsupdates für 'java-1.8.0-openjdk' und für Red Hat Enterprise Linux 7 (in den Produktvarianten Server, Workstation und for Scientific Computing) für 'java-1.7.0-openjdk' zur Behebung der jeweils betreffenden Schwachstellen bereit.

Version 3 (2020-04-21 18:27)

Für Red Hat Enterprise Linux 7 (in den Produktvarianten Server, Workstation, Desktop und for Scientific Computing) stehen Sicherheitsupdates für 'java-11-openjdk' zur Behebung der betreffenden Schwachstellen bereit.

Version 4 (2020-04-22 10:45)

Für Red Hat Enterprise Linux und Oracle Linux 6 stehen Sicherheitsupdates bereit, mit denen die jeweiligen Schwachstellen in 'java-1.7.0-openjdk' adressiert werden. Die Schwachstellen in 'java-1.8.0-openjdk' werden für Red Hat Enterprise Linux 7 und Oracle Linux 6 behoben. Für Red Hat Enterprise Linux 8 und Oracle Linux 8 werden die Schwachstellen in 'java-11-openjdk' in einem weiteren Sicherheitsupdate adressiert.

Version 5 (2020-04-22 14:32)

Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates bereit, mit denen die jeweiligen Schwachstellen in 'java-1.7.0-openjdk' und ' java-1.8.0-openjdk' adressiert werden.

Version 6 (2020-04-22 17:44)

Für Red Hat Enterprise Linux 8 und 8.1 EUS für x86_64 und ARM 64 stehen Sicherheitsupdates für 'java-1.8.0-openjdk' zur Behebung der betreffenden Schwachstellen bereit.

Version 7 (2020-04-23 09:29)

Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates bereit, mit denen die betreffenden Schwachstellen in 'java-11-openjdk' adressiert werden, und für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'java-1.8.0-openjdk' zur Verfügung. Canonical hat Sicherheitsupdates für Ubuntu 19.10, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS für 'openjdk-8' und 'openjdk-lts' zur Behebung der betreffenden Schwachstellen veröffentlicht.

Version 8 (2020-04-27 10:55)

Debian stellt für die stabile Distribution 10 (Buster) ein Sicherheitsupdate für 'openjdk-11' zur Behebung der betreffenden Schwachstellen bereit. Für Fedora 30 und 31 stehen Sicherheitsupdates für OpenJDK 14 auf die aktuelle Version 14.0.1.7 im Status 'testing' zur Vefügung.

Version 9 (2020-04-28 11:50)

Für Fedora 30 und 31 stehen Sicherheitsupdates für OpenJDK 11 auf die aktuelle Version 11.0.7.10 im Status 'testing' bereit.

Version 10 (2020-04-29 10:57)

Für Fedora EPEL 7 und 8 stehen ebenfalls Sicherheitsupdates für OpenJDK 14 auf die aktuelle Version 14.0.1.7 im Status 'testing' zur Verfügung. Darüber hinaus wird 'openjdk-7' für Debian 8 Jessie (LTS) auf Basis von Version 7u261 aktualisiert.

Version 11 (2020-04-30 11:26)

Debian stellt für die Distribution Stretch (oldstable) ein Sicherheitsupdates für 'openjdk-8' zur Behebung der betreffenden Schwachstellen bereit.

Version 12 (2020-05-05 09:54)

Für die Distributionen Fedora 30, 31 und 32 stehen Sicherheitsupdates in Form von 'java-1.8.0-openjdk-1.8.0.252.b09-0'-Paketen bereit, welche sich im Status 'testing' befinden (bis auf dasjenige für Fedora 30, welches noch im Status 'pending' ist).

Version 13 (2020-05-06 15:15)

IBM veröffentlicht das IBM Java SDK in Version 8 Service Refresh 6 Fix Pack 10 (8.0.6.10) zur Behebung der im April von Oracle behobenen Schwachstellen in Java und stellt die Versionen 7 Release 1 Service Refresh 4 Fix Pack 65 (7.1.4.65) und 7 Service Refresh 10 Fix Pack 65 (7.0.10.65) als weitere Sicherheitsupdates zur Behebung der jeweiligen Schwachstellen bereit. Informationen zu weiteren Schwachstellen in IBM Java SDK sind bisher nicht veröffentlicht worden.

Version 14 (2020-05-08 13:23)

IBM informiert darüber, dass WebSphere Application Server 8.5, 9.0 und Liberty von zahlreichen Schwachstellen in IBM Java SDK betroffen ist, die mit dem April 2020 CPU behoben wurden, und erwähnt zusätzlich die beiden Schwachstellen CVE-2019-2949 und CVE-2020-2654 aus früheren Sicherheitsupdates (October 2019 CPU und January 2020 CPU). Anwender sollen zur Behebung der Schwachstellen die für die jeweilige IBM Java SDK Version aufgeführten Interim Fix APARs herunterladen und installieren.

Version 15 (2020-05-11 10:30)

Für Fedora 31 und 32 stehen Sicherheitsupdates in Form von 'java-1.8.0-openjdk-aarch32-1.8.0.252.b09-1'-Paketen im Status 'testing' bereit.

Version 16 (2020-05-22 12:25)

Red Hat stellt für Red Hat Enterprise Linux (RHEL) 8 sowie RHEL 6 und 7 Supplementary Sicherheitsupdates für IBM Java SE 8 (java-1.8.0-ibm) auf Version 8 SR6-FP10 (8.0.6.10) zur Verfügung. Zusätzlich werden für RHEL 6 und 7 Supplementary Sicherheitsupdates für IBM Java SE 7 (java-1.7.1-ibm) auf Version 7R1 SR4-FP65 (7.1.4.65) bereitgestellt.

Version 17 (2020-06-02 10:43)

Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS, High Performance Computing 15 LTSS und ESPOS sowie die SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP2 und for Basesystem 15 SP1 und SP2 stehen Sicherheitsupdates für 'java-11-openjdk' zur Verfügung.

Version 18 (2020-06-02 18:36)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'java-11-openjdk' auf Version jdk-11.0.7+10 (April 2020 CPU) zur Verfügung.

Version 19 (2020-06-09 19:06)

SUSE veröffentlicht für SUSE Linux Enterprise Server 12 SP5 ein Sicherheitsupdate für 'java-11-openjdk', um die für den Versionszweig relevanten, hier aufgeführten Schwachstellen zu beheben. Für SUSE Linux Enterprise Server for SAP 15 und Server 15 LTSS sowie SUSE Linux Enterprise Module for Legacy Software 15 SP1 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit. Weiterhin stehen Sicherheitsupdates für 'java-1_7_0-openjdk' für die SUSE Linux Enterprise Server Produktvarianten for SAP 12 SP2 und SP3, Server 12 SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 und SP5, SUSE Enterprise Storage 5 sowie SUSE OpenStack Cloud 7, 8 und Crowbar 8 zur Verfügung.

Version 20 (2020-06-15 12:17)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' bereit, mit dem die betroffene Software auf Version 8u252 aktualisiert wird.

Version 21 (2020-06-18 15:54)

Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate für 'java-1_7_1-ibm' bereit, um die dafür relevanten Schwachstellen zu beheben. Die betroffene Software wird damit auf Version 7.1 Service Refresh 4 Fix Pack 65 aktualisiert.

Version 22 (2020-06-19 18:32)

Für SUSE OpenStack Cloud 7, 8, Crowbar 8, SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP2 LTSS, 12 SP2 for SAP, 12 SP3 BCL, 12 SP3 LTSS, 12 SP3 for SAP, 12 SP4, 12 SP5, SUSE Enterprise Storage 5 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version jdk8u252 bereit, um die Schwachstellen zu schließen. Für diese Produkte und zusätzlich für SUSE Linux Enterprise Software Development Kit 12 SP4 und 12 SP5 stehen außerdem Sicherheitsupdates für 'java-1_7_1-ibm' auf Version Java 7.1 Service Refresh 4 Fix Pack 65 und für 'java-1_8_0-ibm' auf Version Java 8.0 Service Refresh 6 Fix Pack 10 bereit. Für SUSE Linux Enterprise Module for Legacy Software 15 SP1, 15 SP2, SUSE Linux Enterprise Server 15 LTSS und 15 for SAP steht ebenfalls ein Sicherheitsupdate für 'java-1_8_0-ibm' auf Version Java 8.0 Service Refresh 6 Fix Pack 10 bereit.

Version 23 (2020-06-24 18:43)

openSUSE veröffentlicht für die kurz vor der allgemeinen Veröffentlichung stehende Distribution (KW 27) openSUSE Leap 15.2 ein Sicherheitsupdate für 'java-1_8_0-openj9' und behebt damit zehn der hier aufgeführten Schwachstellen.

Version 24 (2020-07-08 11:28)

Für SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP1 steht ein Sicherheitsupdate für 'java-11-openjdk' zur Behebung der betreffenden Schwachstellen bereit. Java wird damit auf Version jdk-11.0.7+10 (April 2020 CPU, bsc#1169511) aktualisiert.

Version 25 (2020-07-14 22:24)

Für SUSE Linux Enterprise Module for Legacy Software 15 SP2 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf die Version jdk8u252 zur Verfügung, um zehn der hier aufgeführten Schwachstellen zu beheben.

Version 26 (2020-08-24 09:46)

IBM informiert darüber, dass IBM Spectrum Protect Plus für Linux in den Versionen 10.1.0 bis 10.1.6 von den als Teil des Java Updates im April 2020 behobenen Schwachstellen betroffen ist und kündigt die Version 10.1.6 ifix3 als Sicherheitsupdate für das dritte Quartal 2020 an.

Betroffene Software

Datensicherung
Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen einem entfernten Angreifer die vollständige Kompromittierung der Software, die Manipulation von Daten, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen von Informationen. In zwei Fällen erfordert eine erfolgreiche Ausnutzung der Schwachstelle eine Benutzerinteraktion und kann Auswirkungen auf andere Komponenten haben. Eine zusätzliche Schwachstelle in der Java Advanced Management Console ermöglicht dem Angreifer das Ausspähen weiterer Informationen.

Es stehen die aktuellen Versionen Java SE 14.0.1 und 11.0.7 (LTS) über das Java SE Development Kit (JDK) und alternativ Java SE 8u251 und 7u261 sowie Java SE Embedded 8u251 zum Download als Java SE Runtime Environment (JRE), Server JRE und Java SE Development Kit (JDK) zur Verfügung. Die Java Advanced Management Console behebt die referenzierte Schwachstelle in Version 2.17.

Die schwerwiegendsten Schwachstellen CVE-2020-2803, CVE-2020-2805 und CVE-2019-18197 betreffen typischerweise Client-Installationen, die nicht vertrauenswürdigen Programmcode in der Java Sandbox ausführen. Die Schwachstellen CVE-2020-2816, CVE-2020-2800 und CVE-2020-2764 betreffen Anwendungen, die nicht vertrauenswürdige Daten an die Programmschnittstelle der betroffenen Komponenten übermitteln.

Schwachstellen:

CVE-2019-18197

Schwachstelle in libxslt ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-2754 CVE-2020-2755

Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen Denial-of-Service-Angriff

CVE-2020-2756 CVE-2020-2757

Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen Denial-of-Service-Angriff

CVE-2020-2764

Schwachstelle in Java Advanced Management Console ermöglicht Ausspähen von Informationen

CVE-2020-2767

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

CVE-2020-2773

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2020-2778

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2020-2781

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2020-2800

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht u. a. Manipulation von Daten

CVE-2020-2803 CVE-2020-2805

Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen komplette Kompromittierung der Software

CVE-2020-2816

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2020-2830

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.