2021-2195: Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2021-10-20 13:07)

Neues Advisory

Version 2 (2021-10-21 11:40)

Für Fedora 33 und 34, Red Hat Enterprise Linux 7, 8, 8.1 EUS, 8.2 EUS und 8.4 sowie Oracle Linux 7 und 8 stehen Sicherheitsupdates für 'java-1.8.0-openjdk' auf die aktuelle Version 8u312-b07 und für 'java-11-openjdk' auf Version 11.0.13 zur Verfügung. Die Updates für Fedora befinden sich im Status 'testing'.

Version 3 (2021-10-25 13:40)

Für Fedora 33 und 34 stehen Sicherheitsupdates in Form der Pakete 'java-latest-openjdk-17.0.1.0.12-1.rolling.fc33' und 'java-latest-openjdk-17.0.1.0.12-1.rolling.fc34' im Status 'testing' bereit. Die Software wird damit auf das OpenJDK Release 17.0.1 (2021-10-19) aktualisiert.

Version 4 (2021-10-26 09:46)

Für Red Hat OpenJDK Java (for Middleware) 1 (x86_64) stehen die aktuellen Red Hat Build of OpenJDK 8 (java-1.8.0-openjdk, Version 1.8.0.312) und OpenJDK 11 (java-11-openjdk, Version 11.0.13) jeweils für Linux und Windows als Sicherheitsupdates bereit. Die OpenJDK 8 und 11 Pakete beinhalten jeweils OpenJDK 8 bzw. 11 Java Runtime Environment und OpenJDK 8 bzw. 11 Java Software Development Kit.

Version 5 (2021-10-27 11:28)

Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'java-latest-openjdk-17.0.1.0.12-1.rolling.el7' im Status 'testing' bereit. Die Software wird damit auf das OpenJDK Release 17.0.1 (2021-10-19) aktualisiert.

Version 6 (2021-10-27 18:18)

Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für 'java-11-openjdk' auf Version 11.0.13+8 (October 2021 CPU) bereit, um die betreffenden zehn Schwachstellen zu beheben.

Version 7 (2021-11-02 12:32)

Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'openjdk-11' in Version 11.0.13+8-1~deb11u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 8 (2021-11-10 08:09)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'openjdk-8' in Version 8u312-b07-1~deb9u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 9 (2021-11-10 19:31)

Für Red Hat Enterprise Linux 8 (x86_64, aarch64) und Red Hat CodeReady Linux Builder 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-17-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 10 (2021-11-11 10:50)

Für Fedora EPEL 8 steht ein Sicherheitsupdate für 'java-latest-openjdk' auf Version 17.0.1 im Status 'testing' zur Verfügung.

Version 11 (2021-11-12 08:56)

Red Hat stellt ein Sicherheitsupdate für den Red Hat Build of OpenJDK 17 (java-17-openjdk) für Windows bereit, womit dieses auf OpenJDK 17.0.1 aktualisiert wird, um die betreffenden Schwachstellen zu beheben.

Version 12 (2021-11-17 08:44)

Für SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise Module for Packagehub Subpackages und Module for Basesystem jeweils in den Versionen 15 SP2 und 15 SP3, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Enterprise Storage 6, SUSE CaaS Platform 4.0 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'java-11-openjdk' auf Version 11.0.13+8 (October 2021 CPU) bereit, um die betreffenden Schwachstellen zu beheben.

Version 13 (2021-11-17 17:03)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'java-11-openjdk' auf Version 11.0.13 bereit, um die betreffenden Schwachstellen zu beheben.

Version 14 (2021-11-18 08:54)

Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für 'java-17-openjdk' bereit, um die betreffenden Schwachstellen zu beheben. Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-aarch32-1.8.0.312.b07-1.fc34' und 'java-1.8.0-openjdk-aarch32-1.8.0.312.b07-1.fc35' im Status 'testing' zur Verfügung.

Version 15 (2021-11-24 09:09)

Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4, 15 und 15 SP1, SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS, 12 SP5, 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise Module for Legacy Software 15 SP2 und 15 SP3, SUSE Enterprise Storage 6, SUSE CaaS Platform 4.0 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version OpenJDK 8u312 (October 2021 CPU) zur Verfügung, um die betreffenden Schwachstellen zu beheben.

Version 16 (2021-11-24 12:34)

Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'openjdk-17' in Version 17.0.1+12-1+deb11u2 bereit, um die betreffenden Schwachstellen zu beheben.

Version 17 (2021-11-25 08:45)

Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4, SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 stehen Sicherheitsupdates für 'java-1_7_0-openjdk' auf Version OpenJDK 7u321 (October 2021 CPU) bereit, um die betreffenden Schwachstellen zu beheben. Für openSUSE Leap 15.2 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' auf Version OpenJDK 8u312 (October 2021 CPU) zur Verfügung.

Version 18 (2021-12-17 11:27)

Canonical veröffentlicht für Ubuntu 21.10, 21.04, 20.04 LTS, 18.04 LTS und 16.04 ESM Sicherheitsupdates für 'openjdk-8' und 'openjdk-lts' und behebt damit, neben hier aufgeführten Schwachstellen, auch drei Schwachstellen, die bereits mit den im Juli 2021 bereitgestellten Java-Updates adressiert wurden, für welche Canonical aber keine Sicherheitsupdates publiziert hat.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-35567 kann Einfluss auf andere Komponenten haben.

Oracle stellt die Sicherheitsupdates Java SE Development Kit 7, Update 321 (JDK 7u321); Java SE Development Kit 8, Update 311 (JDK 8u311); Java SE Embedded 8u311 sowie Java SE Development Kit 11.0.13 und 17.0.1 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2021-3517

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3522

Schwachstelle in GStreamer ermöglicht Denial-of-Service-Angriff

CVE-2021-3537

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2021-35550

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2021-35556

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35559

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35560

Schwachstelle in Oracle Java SE ermöglicht komplette Kompromittierung der Software

CVE-2021-35561

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35564

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2021-35565 CVE-2021-35578

Schwachstellen in Oracle Java SE ermöglichen Denial-of-Service-Angriff

CVE-2021-35567

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2021-35586

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35588

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35603

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.