2020-2290: Oracle Java SE, Java SE Embedded, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2020-10-21 12:36)

Neues Advisory

Version 2 (2020-10-23 13:31)

Für Red Hat Enterprise Linux 7, 8 und 8.2 sowie 8.1 EUS stehen Sicherheitsupdates für 'java-11-openjdk' bereit, mit denen die Schwachstellen behoben werden.

Version 3 (2020-10-23 13:40)

Für Oracle Linux 8 (x86, aarch64) stehen ebenfalls Sicherheitsupdates für 'java-11-openjdk' zur Verfügung. Die betroffene Software wird damit auf Version 11.0.9 aktualisiert.

Version 4 (2020-10-26 11:22)

Für Fedora 31 und 32 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-1.8.0.272.b10-0.fc31', 'java-11-openjdk-11.0.9.11-0.fc31' und 'java-11-openjdk-11.0.9.11-0.fc32' im Status 'testing' bereit, mit denen ein Update auf OpenJDK Version 8u272 bzw. OpenJDK Version 11.0.9 erfolgt. Für Oracle Linux 7 (aarch64, x86_64) stehen ebenfalls Sicherheitsupdates für 'java-11-openjdk' zur Verfügung. Die betroffene Software wird damit auf Version 11.0.9 aktualisiert. Für die stabile Distribution Debian 10 Buster stehen Sicherheitsupdates für 'openjdk-11' in Version 11.0.9+11-1~deb10u1 zur Verfügung.

Version 5 (2020-10-27 11:11)

Für Red Hat Enterprise Linux Desktop, Server, Workstation und for Scientific Computing 6 und 7, Red Hat Enterprise Linux 8 (x86_64), Red Hat Enterprise Linux - Extended Update Support 8.1 (x86_64, aarch64), Red Hat Enterprise Linux - Extended Update Support 8.2 (x86_64) sowie Red Hat Enterprise Linux Server 8.2 AUS und TUS stehen Sicherheitsupdates für 'java-1.8.0-openjdk' bereit, mit denen die Schwachstellen behoben werden.

Version 6 (2020-10-28 09:13)

Für Oracle Linux 6 (x86_64, i386), 7 (x86_64, aarch64) und 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-1.8.0-openjdk' zur Behebung der Schwachstellen zur Verfügung.

Version 7 (2020-10-30 13:01)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'openjdk-8' in Version 8u272-b10-0+deb9u1 bereit.

Version 8 (2020-11-03 11:17)

Für 'java-latest-openjdk' stehen Sicherheitsupdates für Fedora 32 und 33 basierend auf Version 15.0.1 im Status 'testing' bereit.

Version 9 (2020-11-04 09:44)

Für Fedora 31 und Fedora EPEL 8 stehen Sicherheitsupdates für 'java-latest-openjdk' basierend auf Version 15.0.1 im Status 'testing' bereit.

Version 10 (2020-11-05 17:26)

Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für 'java-11-openjdk' bereit, um die acht Schwachstellen zu beheben.

Version 11 (2020-11-06 12:10)

Für SUSE OpenStack Cloud 7, 8, 9 / Crowbar 8, 9, SUSE Enterprise Storage 5, SUSE Linux Enterprise Server 12 SP2 BCL / LTSS / SAP, 12 SP3 BCL / LTSS / SAP, 12 SP4 LTSS / SAP und 12 SP5 stehen Sicherheitsupdate für 'java-1_8_0-openjdk' auf Version 1.8.0.272 bereit, um die Schwachstellen zu schließen.

Version 12 (2020-11-10 17:08)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'java-1_8_0-openj9' auf Version 8u2732 Build 10 mit OpenJ9 0.23.0 Virtual Machine (beinhaltet Oracle July 2020 und October 2020 CPU) bereit.

Version 13 (2020-11-13 11:42)

Für SUSE Enterprise Storage 5, SUSE Linux Enterprise Server 12 SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 LTSS und SP5, für SUSE Linux Enterprise Server for SAP 12 SP2, SP3 und SP4 sowie für SUSE OpenStack Cloud 7, 8 und 9 sowie Crowbar 8 und 9 stehen Sicherheitsupdates für 'java-1_7_0-openjdk' bereit. Die betroffene Software wird damit auf Version 2.6.24 (OpenJDK 7u281) aktualisiert.

Version 14 (2020-11-18 09:25)

Für SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP1 und 15 SP2 sowie SUSE Linux Enterprise Module for Basesystem 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'java-11-openjdk' zur Verfügung. Die betroffene Software wird damit auf Upstream Tag 'jdk-11.0.9-11' (October 2020 CPU) aktualisiert.

Version 15 (2020-11-19 11:02)

IBM informiert über die am Oracle-Patchtag im Oktober veröffentlichten Schwachstellen, die auch IBM SDK betreffen und veröffentlicht die Versionen 7 Service Refresh 10 Fix Pack 75 (7.0.10.75) und 7 Release 1 Service Refresh 4 Fix Pack 75 (7.1.4.75) als Sicherheitsupdates. Die Schwachstelle CVE-2020-14782 soll durch ein späteres Bulletin berücksichtigt werden, CVE-2020-14792 betrifft nur IBM SDK, Java Technology Edition auf Solaris, HP-UX und Mac OS und CVE-2020-14798 nur IBM SDK, Java Technology Edition auf Windows.

Version 16 (2020-11-19 12:36)

Für Fedora 31, 32 und 33 stehen Sicherheitsupdates für 'java-1.8.0-openjdk-aarch32' basierend auf Version 8 Update 275 im Status 'testing' bereit.

Version 17 (2020-11-23 10:25)

Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS sowie Module for Legacy Software 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, um die Regression '8250861: Crash in MinINode::Ideal(PhaseGVN*, bool)' zu beheben, welche mit dem 'October 2020 CPU' eingeführt wurde. Hiermit werden 16 Schwachstellen aus dem 'July 2020 CPU' und 'October 2020 CPU' adressiert.

Version 18 (2020-11-23 12:00)

Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates für 'java-11-openjdk' zur Verfügung. Die betroffene Software wird damit auf Upstream Tag 'jdk-11.0.9-11' (October 2020 CPU) aktualisiert.

Version 19 (2020-11-27 15:51)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'java-1_8_0-openjdk' zur Verfügung.

Version 20 (2020-11-30 12:48)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'java-1_8_0-openjdk' sowie der mit dem October 2020 CPU eingeführten Regression "8250861: Crash in MinINode::Ideal(PhaseGVN*, bool)" zur Verfügung.

Version 21 (2020-12-02 18:01)

Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS sowie Module for Legacy Software 15 SP1, 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf die Version jdk8u275 (icedtea 3.17.1) bereit, womit unter anderem die Regression '8250861: Crash in MinINode::Ideal(PhaseGVN*, bool)' behoben wird.

Version 22 (2020-12-07 11:59)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf die Version jdk8u275 (icedtea 3.17.1) bereit, womit unter anderem die Regression '8250861: Crash in MinINode::Ideal(PhaseGVN*, bool)' behoben wird.

Version 23 (2020-12-07 17:14)

Für openSUSE Leap 15.1 steht ebenfalls ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf die Version jdk8u275 (icedtea 3.17.1) bereit.

Version 24 (2020-12-09 11:00)

IBM informiert über die am Oracle-Patchtag im Oktober veröffentlichten Schwachstellen, die auch IBM SDK betreffen und veröffentlicht mit einem Update des IBM Security Bulletin 6370057 die Version 8 Service Refresh 6 Fix Pack 20 (8.0.6.20) als Sicherheitsupdate. Die Schwachstelle CVE-2020-14782 soll durch ein späteres Bulletin berücksichtigt werden, CVE-2020-14792 betrifft nur IBM SDK, Java Technology Edition auf Solaris, HP-UX und Mac OS und CVE-2020-14798 nur IBM SDK, Java Technology Edition auf Windows.

Version 25 (2020-12-18 15:04)

Für Red Hat Enterprise Linux 7 Supplementary stehen Sicherheitsupdates bereit, mit denen IBM Java SE 8 (java-1.8.0-ibm) auf Version 8 SR6-FP20 aktualisiert wird.

Version 26 (2020-12-18 16:12)

Für Red Hat Enterprise Linux 7 Supplementary stehen Sicherheitsupdates bereit, mit denen IBM Java SE 7 Release 1 (java-1.7.1-ibm) auf Version 7R1 SR4-FP75 aktualisiert wird.

Version 27 (2020-12-22 17:58)

Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate für 'java-1_7_1-ibm' auf die Version 7.1 Service Refresh 4 Fix Pack 75 bereit.

Version 28 (2020-12-28 09:13)

Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS sowie Module for Legacy Software 15 SP1, 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'java-1_8_0-ibm' auf die Version 8.0 Service Refresh 6 Fix Pack 20 bereit.

Version 29 (2021-01-05 09:41)

Für SUSE Enterprise Storage 5, SUSE Linux Enterprise Server 12 SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 LTSS und SP5, für SUSE Linux Enterprise Server for SAP 12 SP2, SP3 und SP4, SUSE Linux Enterprise Software Development Kit 12 SP4 und SP5, sowie für SUSE OpenStack Cloud 7, 8 und 9 sowie Crowbar 8 und 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1_7_1-ibm' adressiert werden. Die betroffene Software wird damit auf Version 7.1 Service Refresh 4 Fix Pack 75 (7.1.4.75) aktualisiert.

Version 30 (2021-01-06 09:55)

Für SUSE Enterprise Storage 5, SUSE Linux Enterprise Server 12 SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 LTSS und SP5, für SUSE Linux Enterprise Server for SAP 12 SP2, SP3 und SP4, SUSE Linux Enterprise Software Development Kit 12 SP5 sowie für SUSE OpenStack Cloud 7, 8 , 9 und Crowbar 8 und 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1_8_0-ibm' adressiert werden. Die betroffene Software wird damit auf Version 8.0 Service Refresh 6 Fix Pack 20 (8.0.6.20) aktualisiert.

Version 31 (2021-02-17 10:40)

Für Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate bereit, mit dem 'java-1.8.0-ibm' auf Version 8 SR6-FP20 (8.0.6.20) aktualisiert wird.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen einem entfernten Angreifer die Manipulation von Daten, einen Denial-of-Service (DoS)-Angriff und das Ausspähen von Informationen. In einigen Fällen erfordert eine erfolgreiche Ausnutzung der Schwachstellen eine Benutzerinteraktion.

Es stehen die aktuellen Versionen Java SE 15.0.1 und 11.0.9 (LTS) über das Java SE Development Kit (JDK) und alternativ Java SE 8u271 und 7u281 sowie Java SE Embedded 8u271 zum Download als Java SE Runtime Environment (JRE), Server JRE und Java SE Development Kit (JDK) zur Verfügung.

Die Schwachstellen CVE-2020-14803, CVE-2020-14796 und CVE-2020-14798 betreffen typischerweise Client-Installationen, die nicht vertrauenswürdigen Programmcode in der Java Sandbox ausführen. Die Schwachstellen CVE-2020-14792, CVE-2020-14781, CVE-2020-14782 und CVE-2020-14797 betreffen Anwendungen, die nicht vertrauenswürdige Daten an die Programmschnittstelle der betroffenen Komponenten übermitteln.

Schwachstellen:

CVE-2020-14779

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2020-14781

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2020-14782 CVE-2020-14797

Schwachstellen in Oracle Java SE und Java SE Embedded ermöglichen Manipulation von Daten

CVE-2020-14792

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht u. a. Manipulation von Daten

CVE-2020-14796

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2020-14798

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2020-14803

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.