2021-1533: Oracle Java SE, Java SE Embedded: Mehrere Schwachstellen ermöglichen u. a. die Kompromittierung der Software

Historie:

Version 1 (2021-07-21 11:44)

Neues Advisory

Version 2 (2021-07-21 19:57)

Für Red Hat Enterprise Linux 7 und 8 sowie 8.1 und 8.2 Extended Update Support (EUS) stehen Sicherheitsupdates für 'java-1.8.0-openjdk' und 'java-11-openjdk' zur Behebung der für die Versionszweige relevanten Schwachstellen zur Verfügung.

Version 3 (2021-07-22 11:47)

Für Oracle Linux 7 (x86_64, aarch64) steht ein Sicherheitsupdate für 'java-11-openjdk' bereit, um die Schwachstelle zu beheben.

Version 4 (2021-07-22 17:28)

Für Oracle Linux 7 (x86_64, aarch64) steht ein Sicherheitsupdate für 'java-1.8.0-openjdk' bereit, um die Schwachstellen zu beheben.

Version 5 (2021-07-22 17:38)

Für Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-11-openjdk' und 'java-1.8.0-openjdk' bereit, um die Schwachstellen zu beheben.

Version 6 (2021-07-23 14:53)

Für OpenJDK Java (for Middleware) 1 (x86_64) stehen Sicherheitsupdates von Red Hat Build of OpenJDK 8 (java-1.8.0-openjdk) für Windows und portables Linux zur Behebung der Schwachstellen bereit.

Version 7 (2021-07-26 12:00)

Für Fedora 33 und 34 stehen Sicherheitsupdates für 'java-1.8.0-openjdk' auf Version 8u302 und 'java-11-openjdk' auf Version 11.0.12 im Status 'testing' bereit. Neben den bekannten CVEs werden in den Release Notes eine Reihe weiterer Sicherheitsprobleme genannt, die mit diesem Update behoben werden.

Version 8 (2021-07-26 12:45)

Für Fedora 33 und 34 stehen ebenfalls Sicherheitsupdates für 'java-latest-openjdk' im Status 'testing' bereit. Hier erfolgt das Update auf Version 16.0.2.

Version 9 (2021-07-26 20:56)

Für OpenJDK Java (for Middleware) 1 (x86_64) stehen Sicherheitsupdates vom Red Hat Build von OpenJDK 11 (java-11-openjdk) für Windows und portables Linux zur Behebung der Schwachstellen bereit.

Version 10 (2021-08-02 10:15)

Für Debian 10 Buster steht ein Sicherheitsupdate auf Basis von OpenJDK 11.0.12 bereit, mit dem die relevanten Schwachstellen adressiert werden.

Version 11 (2021-08-06 10:55)

Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'java-11-openjdk' auf Basis von Version 11.0.12 zur Verfügung.

Version 12 (2021-08-10 09:26)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'openjdk-8' in Version 8u302-b08-1~deb9u1 bereit, mit dem die relevanten Schwachstellen adressiert werden.

Version 13 (2021-08-17 12:24)

IBM informiert darüber, dass die Schwachstellen CVE-2021-2341 und CVE-2021-2369 mit Java SDK 11 Service Refresh 12, 8.0 Service Refresh 6 Fix Pack 35, 7.1 Service Refresh 10 Fix Pack 90 und 7.0 Service Refresh 10 Fix Pack 90 adressiert werden. Die aktualisierten Versionen für Java SDK 7.1 und 7.0 beheben zusätzlich CVE-2021-2432. Die Schwachstelle CVE-2021-2388 betrifft laut Hersteller IBM SDK 8 für Solaris, HP-UX und macOS, wird aber im zugehörigen Changelog nicht aufgeführt. IBM gibt darüber hinaus an, dass mehrere Schwachstellen die mit IBM WebSphere Application Server ausgelieferten Versionen von IBM SDK, Java Technology Edition betreffen und nennt exemplarisch die Schwachstelle CVE-2021-2369 für WebSphere Application Server 9.0 und 8.5 sowie WebSphere Application Server Liberty Continuous Delivery. Als Sicherheitsupdate für WebSphere Application Server Liberty Continuous Delivery sowie WebSphere Application Server 9 wird ein Update auf IBM SDK Version 8 SR6 FP35 empfohlen. Für WebSphere Application Server 8.5 stehen abhängig von der verwendeten IBM SDK, Java Technology Version die Interim Fixes PH39448 für IBM Java SDK 7, PH39447 für IBM Java SDK 7R1 und PH39446 für IBM Java SDK 8 SR6 FP35 zur Verfügung.

Version 14 (2021-08-20 12:54)

IBM informiert darüber, dass die IBM Java SDK Versionen, die mit IBM WebSphere Application Server Patterns 1.0.0.0 - 1.0.0.7 und 2.2.0.0 - 2.3.3.3 ausgeliefert werden, von den Schwachstellen betroffen sind und stellt den Interim Fix 1.0.0.0-WS-WASPATTERNS-JDK-2107 zur Verfügung.

Version 15 (2021-08-20 18:40)

Für openSUSE Leap 15.3, SUSE OpenStack Cloud Crowbar 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4, 15 und 15 SP1, SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS, 12 SP5, 15 LTSS und 15 SP1 BCL / LTSS, SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.0, SUSE Linux Enterprise Module for Legacy Software 15 SP2 und 15 SP3 sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version jdk8u302 (icedtea 3.20.0) bereit, um vier Schwachstellen zu beheben. Die Schwachstelle CVE-2021-2432 betrifft diesen Versionszweig nicht, während CVE-2021-2161, welche bereits mit der vorherigen Version behoben wurde, zusätzlich aufgeführt wird.

Version 16 (2021-08-23 09:06)

Für openSUSE Leap 15.2 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version jdk8u302 (icedtea 3.20.0) bereit, um vier Schwachstellen zu beheben. Die Schwachstelle CVE-2021-2432 betrifft diesen Versionszweig nicht, während CVE-2021-2161, welche bereits mit der vorherigen Version behoben wurde, zusätzlich aufgeführt wird.

Version 17 (2021-08-30 16:18)

Für Red Hat Enterprise Linux 7 Supplementary (Server, Workstation, Desktop, for Scientific Computing) stehen Sicherheitsupdates für 'java-1.7.1-ibm' und 'java-1.8.0-ibm' zur Behebung der für die Versionszweige relevanten Schwachstellen zur Verfügung. IBM Java SE Version 7 und 8 (IBM Java Runtime Environment und IBM Java Software Development Kit) werden damit auf Version 7R1 SR4-FP90 bzw. 8 SR6-FP35 aktualisiert.

Version 18 (2021-09-02 09:59)

Für Fedora 33 und 34 stehen weitere Sicherheitsupdates für 'java-1.8.0-openjdk' auf Version 8u302 in Form der Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.302.b08-1.fc33.1' und 'java-1.8.0-openjdk-aarch32-1.8.0.302.b08-1.fc34.1' im Status 'testing' zur Verfügung.

Version 19 (2021-09-06 09:36)

Für openSUSE Leap 15.3, SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.0, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise Module for Packagehub Subpackages und SUSE Linux Enterprise Module for Basesystem jeweils in den Versionen 15 SP2 und 15 SP3, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'java-11-openjdk' zur Behebung der hierfür relevanten Schwachstellen CVE-2021-2341, CVE-2021-2369 und CVE-2021-2388 sowie eines weiteren, nicht sicherheitsrelevanten Fehlers bereit.

Version 20 (2021-09-07 18:00)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'java-11-openjdk' auf Version jdk-11.0.12+7 bereit, um drei Schwachstellen und einen weiteren Fehler zu beheben. Die Schwachstelle CVE-2021-2432 betrifft diesen Versionszweig nicht.

Version 21 (2021-09-10 12:53)

Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für 'java-1_7_0-openjdk' auf die Version 7u311 bereit. Neben den hier referenzierten Schwachstellen werden mit dem Sicherheitsupdate auch die Schwachstellen CVE-2021-2161 und CVE-2021-2163 behoben, die bereits mit der JDK-Version 7u301 adressiert wurden und einem Angreifer das Umgehen von Sicherheitsvorkehrungen aus der Ferne ermöglichen. Weiterhin wird die Schwachstelle CVE-2018-3639 in der Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren, die das Ausspähen von Informationen ermöglicht, als adressiert aufgeführt.

Version 22 (2021-09-16 14:07)

IBM informiert darüber, dass mit den bisherigen Sicherheitsupdates für IBM Java SE die Schwachstellen behoben wurden, welche im Oracle July 2021 Critical Patch Update enthalten waren, jedoch ohne die Schwachstelle CVE-2021-2341. CVE-2021-2341 soll erst später durch ein zusätzliches Security Bulletin adressiert werden.

Version 23 (2021-09-17 15:02)

IBM stellt Sicherheitsupdates für AIX 7.1 und 7.2 und VIOS 3.1 für die IBM SDK Java Technology Edition Versionen 7.0.10.90, 7.1.4.90 und 8.0.6.35 bereit.

Version 24 (2021-09-27 10:24)

IBM informiert darüber, dass die Schwachstelle CVE-2021-2341 die IBM SDK, Java Technology Edition Versionen 7.0.0.0 - 7.0.10.90, 7.1.0.0 - 7.1.4.90, 8.0.0.0 - 8.0.6.30 und 11.0.9.0 - 11.0.11.0 betrifft und mit den Java SDK Versionen 8.0.6.35 und IBM Semeru 11.0.12.0 behoben wird.

Version 25 (2021-11-03 10:16)

Für Red Hat Enterprise Linux 8 (x86_64) und Red Hat Enterprise Linux - Extended Update Support 8.4 (x86_64) stehen Sicherheitsupdates für 'java-1.8.0-ibm' zur Behebung der für diesen Versionszweig relevanten Schwachstellen zur Verfügung. IBM Java SE Version 8 (IBM Java Runtime Environment und IBM Java Software Development Kit) wird damit auf Version 8 SR6-FP35 aktualisiert.

Version 26 (2021-12-01 11:20)

IBM hat IBM Security Bulletin 6488425 (CVE-2021-2341) aktualisiert und nun auch die Java SDK Version 7.0.11.0 als Sicherheitsupdate bereitgestellt.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und dadurch die Software vollständig zu kompromittieren, Daten zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle stellt die Sicherheitsupdates Java SE Development Kit 7, Update 311 (JDK 7u311); Java SE Development Kit 8, Update 301 (JDK 8u301); Java SE Embedded 8u301 sowie Java SE Development Kit 11.0.12 und 16.0.2 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2021-2341

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Ausspähen von Informationen

CVE-2021-2369

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Manipulation von Daten

CVE-2021-2388

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Kompromittierung der Software

CVE-2021-2432

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.