2021-2310: OpenJDK, OpenJ9: Mehrere Schwachstellen ermöglichen u. a. eine Kompromittierung der Software

Historie:

Version 1 (2021-11-05 11:14): Neues Advisory
Version 2 (2021-11-08 08:51): Für openSUSE Leap 15.2 steht eine Sicherheitsupdate für 'java-1_8_0-openj9' zur Behebung der Schwachstellen bereit. Hiermit erfolgt ein Update auf OpenJDK 8u312 Build 07 mit OpenJ9 0.29.0 Virtual Machine, welches Fehlerbehebungen aus dem Oracle July 2021 und October 2021 CPU beinhaltet.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Software zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Für openSUSE Leap 15.3 steht eine Sicherheitsupdate für 'java-1_8_0-openj9' zur Behebung der Schwachstellen bereit. Hiermit erfolgt ein Update auf OpenJDK 8u312 Build 07 mit OpenJ9 0.29.0 Virtual Machine, welches Fehlerbehebungen aus dem Oracle July 2021 und October 2021 CPU beinhaltet.

Schwachstellen:

CVE-2021-2161

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-2163

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-2341

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Ausspähen von Informationen

CVE-2021-2369

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Manipulation von Daten

CVE-2021-2388

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Kompromittierung der Software