2021-0815: IBM Java, OpenJDK: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-04-21 12:57)

Neues Advisory

Version 2 (2021-04-21 18:57)

Für Oracle Linux 8 stehen die Sicherheitsupdates für 'java-11-openjdk' und 'java-1.8.0-openjdk' bereit.

Version 3 (2021-04-22 11:41)

Red Hat stellt Sicherheitsupdates für 'java-1.8.0-openjdk' für Red Hat Enterprise Linux 8.1 Extended Update Support (EUS) zur Verfügung.

Version 4 (2021-04-23 08:36)

Für Fedora 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-1.8.0.292.b10-0.fc32', 'java-1.8.0-openjdk-1.8.0.292.b10-0.fc33' und 'java-11-openjdk-11.0.11.0.9-0.fc33' im Status 'testing' bereit. Die dort ebenfalls aufgeführte Schwachstelle CVE-2021-2161 betrifft nur Windows-Systeme.

Version 5 (2021-04-23 17:26)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'openjdk-8' in Version 8u292-b10-0+deb8u1 bereit. Die dort ebenfalls aufgeführte Schwachstelle CVE-2021-2161 betrifft nur Windows-Systeme.

Version 6 (2021-04-26 10:33)

Für Fedora 32 steht ein Sicherheitsupdate in Form des Pakets 'java-11-openjdk-11.0.11.0.9-0.fc32' im Status 'testing' bereit. Die dort ebenfalls aufgeführte Schwachstelle CVE-2021-2161 betrifft nur Windows-Systeme. Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'openjdk-11' in Version 11.0.11+9-1~deb10u1 bereit. Auch hierfür wird CVE-2021-2161 referenziert, während diese Schwachstelle laut Red Hat nur für Windows-Systeme relevant ist. Laut Debian Security Tracker wurde CVE-2021-2163 dagegen auch mit der jetzt veröffentlichten Paket-Version behoben.

Version 7 (2021-04-28 10:10)

Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'openjdk-8' und 'openjdk-lts' bereit, um die Schwachstelle zu beheben. Für Fedora 32 und 33 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates in Form der Pakete 'java-latest-openjdk-16.0.1.0.9-1.rolling.fc32', 'java-latest-openjdk-16.0.1.0.9-1.rolling.fc33', 'java-latest-openjdk-16.0.1.0.9-1.rolling.el7' und 'java-latest-openjdk-16.0.1.0.9-1.rolling.el8' im Status 'testing' bereit, für die das April 2021 CPU Update referenziert wird.

Version 8 (2021-04-28 18:59)

Für OpenJDK Java (for Middleware) 1 (x86_64) stehen Sicherheitsupdates von Red Hat Build of OpenJDK 8 (java-1.8.0-openjdk) für Linux und Red Hat Build of OpenJDK 11 (java-11-openjdk) für Linux zur Behebung der Schwachstelle bereit.

Version 9 (2021-05-21 10:26)

Für Fedora 32, 33 und 34 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.292.b10-1.fc32', 'java-1.8.0-openjdk-aarch32-1.8.0.292.b10-1.fc33' und 'java-1.8.0-openjdk-aarch32-1.8.0.292.b10-1.fc34' im Status 'testing' bereit.

Version 10 (2021-05-25 10:36)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'java-1_8_0-openj9' auf OpenJDK 8u292 Build 10 mit OpenJ9 0.26.0 Virtual Machine bereit, um die Schwachstelle zu beheben.

Version 11 (2021-06-16 10:01)

Für SUSE Linux Enterprise Server 12 SP2 BCL, SP3 BCL, SP3 LTSS, SP4 LTSS und SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und SP4, SUSE OpenStack Cloud 8 und 9 sowie SUSE OpenStack Cloud Crowbar 8 und 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstelle in 'java-1_8_0-openjdk' adressiert wird. Die betroffene Software wird damit auf Vereion jdk8u292 (icedtea 3.19.0) aktualisiert.

Version 12 (2021-06-17 17:33)

Für SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.0, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 BCL und 15 SP1 BCL / LTSS, SUSE Linux Enterprise Module for Legacy Software 15 SP2 und 15 SP3 sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates bereit, mit denen die Schwachstelle in 'java-1_8_0-openjdk' adressiert wird. Die betroffene Software wird damit auf Vereion jdk8u292 (icedtea 3.19.0) aktualisiert.

Version 13 (2021-06-28 14:17)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf Version jdk8u292 (icedtea 3.19.0) bereit, um die Schwachstelle zu beheben.

Version 14 (2021-07-14 16:35)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'java-1_8_0-openj9' auf OpenJDK 8u292 Build 10 mit OpenJ9 0.26.0 Virtual Machine bereit, um die Schwachstelle zu beheben.

Version 15 (2021-07-14 16:43)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'java-1_8_0-openjdk' auf Version jdk8u292 (icedtea 3.19.0) bereit, um die Schwachstelle zu beheben.

Version 16 (2022-09-30 10:12)

Red Hat stellt Sicherheitsupdates für 'java-1.7.1-ibm' und 'java-1.8.0-ibm' für Red Hat Enterprise Linux 7 Supplementary (Server, Workstation, Desktop, for Scientific Computing) (x86_64) zur Verfügung, um die Schwachstelle zu beheben.

Version 17 (2022-10-25 16:31)

Für Red Hat Enterprise Linux 8 (x86_64) und Red Hat Enterprise Linux EUS 8.6 (x86_64) stehen Sicherheitsupdates für 'java-1.8.0-ibm' bereit, um die Schwachstelle zu adressieren.

Betroffene Software

Entwicklung

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Red Hat stellt Sicherheitsupdates für 'java-11-openjdk' für Red Hat Enterprise Linux 7 und 8 sowie 8.1 und 8.2 Extended Update Support (EUS) und für 'java-1.8.0-openjdk' für Red Hat Enterprise Linux 7 und 8 sowie 8.2 EUS zur Verfügung.

Für Oracle Linux 7 stehen die Sicherheitsupdates ebenfalls bereit.

Schwachstellen:

CVE-2021-2163

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.