2020-1531: Oracle Java SE, Java SE Embedded, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2020-07-15 13:45): Neues Advisory
Version 2 (2020-07-15 13:49): Neues Advisory
Version 3 (2020-07-17 13:09): Oracle stellt für Oracle Linux 8 (aarch64, x86_64) Sicherheitsupdates von 'java-11-openjdk' und 'java-1.8.0-openjdk' bereit. Letzteres ist auch für Oracle Linux 6 (aarch64, x86_64) verfügbar. Auch Red Hat stellt für Red Hat Enterprise Linux 6, 7, 8 und 8.2 EUS Sicherheitsupdates von 'java-1.8.0-openjdk' für verschiedene Produktvarianten zur Verfügung. Für Red Hat Enterprise Linux 7, 8 und 8.2 EUS stehen außerdem Sicherheitsupdates von 'java-11-openjdk' bereit.
Version 4 (2020-07-20 11:56): Für Fedora 31 und 32 stehen jeweils die Pakete 'java-1.8.0-openjdk-1.8.0.262.b10-1' und 'java-11-openjdk-11.0.8.10-2' als Sicherheitsupdates im Status 'testing' bereit, um die Schwachstellen zu beheben.
Version 5 (2020-07-20 13:04): Oracle stellt für Oracle Linux 7 (aarch64, x86_64) Sicherheitsupdates von 'java-11-openjdk' und 'java-1.8.0-openjdk' bereit, um die Schwachstellen zu beheben.
Version 6 (2020-07-23 12:53): Für Red Hat Enterprise Linux 8.1 Extended Update Support stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'java-1.8.0-openjdk' und 'java-11-openjdk' bereit. Die Schwachstellen werden auch für SUSE Linux Enterprise Server 12 SP5 in 'java-11-openjdk' adressiert.
Version 7 (2020-07-24 12:30): Canonical stellt für Ubuntu 18.04 LTS und Ubuntu 20.04 LTS Sicherheitsupdates von 'openjdk-lts' bereit, um die Schwachstellen zu adressieren.
Version 8 (2020-07-27 11:44): Für 'java-latest-openjdk' stehen Sicherheitsupdates für Fedora 31 und 32 sowie für Fedora EPEL 7 und 8 basierend auf Version 14.0.2 im Status 'testing' bereit.
Version 9 (2020-07-28 13:04): Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'openjdk-11' bereit.
Version 10 (2020-08-05 14:52): IBM informiert über die am Oracle-Patchtag im Juli veröffentlichten Schwachstellen, die auch IBM SDK/JRE betreffen und veröffentlicht die Versionen 8 Service Refresh 6 Fix Pack 15 (8.0.6.15), 7 Release 1 Service Refresh 4 Fix Pack 70 (7.1.4.70) und 7 Service Refresh 10 Fix Pack 70 (7.0.10.70) als Sicherheitsupdates für AIX und Linux. Laut Hersteller betreffen die Schwachstellen CVE-2020-14573 und CVE-2020-14562 keinen der Versionszweige.
Version 11 (2020-08-06 09:57): Canonical stellt für Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 20.04 LTS Sicherheitsupdates von 'openjdk-8' bereit, um die betreffenden Schwachstellen zu adressieren.
Version 12 (2020-08-06 12:18): IBM weist darauf hin, dass die aktuellen Sicherheitsupdates für IBM SDK auf die Versionen 7.0.10.70, 7.1.4.70 und 8.0.6.15 auch die mit dem Oracle-Patchtag im Januar 2020 behobenen Schwachstellen CVE-2020-2590 und CVE-2020-2601 adressieren. Darüber hinaus wird mit diesen Updates zusätzlich zu den aktuellen Schwachstellen in Java SE auch die Schwachstelle CVE-2019-17639 in Eclipse OpenJ9 behoben, die einem entfernten Angreifer das Ausspähen von Informationen ermöglicht.
Version 13 (2020-08-06 18:37): Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS, Module for Packagehub Subpackages 15 SP1 und 15 SP2, Module for Basesystem 15 SP1 und 15 SP2 sowie High Performance Computing 15 LTSS und 15 ESPOS stehen Sicherheitsupdates für 'java-11-openjdk' auf Upstream Tag jdk-11.0.8+10 (July 2020 CPU, bsc#1174157) bereit.
Version 14 (2020-08-10 11:42): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'java-11-openjdk' auf Upstream Tag jdk-11.0.8+10 (July 2020 CPU, bsc#1174157) bereit.
Version 15 (2020-08-13 10:38): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'java-11-openjdk' auf Upstream Tag jdk-11.0.8+10 (July 2020 CPU, bsc#1174157) bereit.
Version 16 (2020-08-13 15:56): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate von 'openjdk-8' bereit, um die betreffenden Schwachstellen zu beheben.
Version 17 (2020-09-03 11:05): Für SUSE OpenStack Cloud Crowbar 8 und 9, SUSE OpenStack Cloud 7, 8 und 9 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3, 12 SP4 und 15, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS, 12 SP5 und 15 LTSS sowie Module for Legacy Software 15 SP1 und 15 SP2 stehen Sicherheitsupdates zur Behebung von 9 Schwachstellen bereit, womit das Paket 'java-1_8_0-ibm' auf Java 8.0 Service Refresh 6 Fix Pack 15 aktualisiert wird.
Version 18 (2020-09-04 12:41): Für SUSE OpenStack Cloud Crowbar 8 und 9, SUSE OpenStack Cloud 7, 8 und 9 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 11 SP4 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 sowie Storage 5 stehen Sicherheitsupdates zur Behebung von 7 Schwachstellen bereit, womit das Paket 'java-1_7_1-ibm' auf Java 7.1 Service Refresh 4 Fix Pack 70 aktualisiert wird.
Version 19 (2020-10-06 09:58): Für SUSE OpenStack Cloud Crowbar 8 und 9, SUSE OpenStack Cloud 7, 8 und 9 sowie die SUSE Linux Enterprise Produkte Software Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 11 SP4 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 sowie Storage 5 stehen Sicherheitsupdates zur Behebung von 7 Schwachstellen bereit, womit das Paket 'java-1_7_0-openjdk' auf Version 2.6.23 aktualisiert wird.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen einem entfernten Angreifer die vollständige Kompromittierung der Software, die Manipulation von Daten, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen von Informationen. In mehreren Fällen erfordert eine erfolgreiche Ausnutzung der Schwachstelle eine Benutzerinteraktion und kann Auswirkungen auf andere Komponenten haben.

Es stehen die aktuellen Versionen Java SE 14.0.2 und 11.0.8 (LTS) über das Java SE Development Kit (JDK) und alternativ Java SE 8u261 und 7u271 sowie Java SE Embedded 8u261 zum Download als Java SE Runtime Environment (JRE), Server JRE und Java SE Development Kit (JDK) zur Verfügung.

Die schwerwiegendsten Schwachstellen CVE-2020-14664, CVE-2020-14583, CVE-2020-14593 und
CVE-2020-14562 betreffen typischerweise Client-Installationen, die nicht vertrauenswürdigen Programmcode in der Java Sandbox ausführen. Die Schwachstelle CVE-2020-14621 betrifft Anwendungen, die nicht vertrauenswürdige Daten an die Programmschnittstelle der betroffenen Komponenten übermitteln. Die restlichen Schwachstellen betreffen sowohl Client- als auch Server-Installationen von Java.

Schwachstellen:

CVE-2019-17639

Schwachstelle in Eclipse OpenJ9 ermöglicht Ausspähen von Informationen

CVE-2020-14556

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht u. a. Manipulation von Daten

CVE-2020-14562

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2020-14573

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2020-14577

Schwachstelle in Oracle Java SE und Java Se Embedded ermöglicht Ausspähen von Informationen

CVE-2020-14578 CVE-2020-14579

Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen Denial-of-Service-Angriffe

CVE-2020-14581

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2020-14583

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der Software

CVE-2020-14593

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2020-14621