2022-0111: Oracle Java SE, Java SE Embedded, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2022-01-19 08:29)

Neues Advisory

Version 2 (2022-01-19 16:31)

Für Red Hat Enterprise Linux for x86_64 und ARM 64 8 sowie Red Hat CodeReady Linux Builder for x86_64 und ARM 64 8 stehen Sicherheitsupdates für 'java-17-openjdk' zur Behebung der Schwachstellen zur Verfügung.

Version 3 (2022-01-20 09:01)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'java-17-openjdk' zur Behebung der Schwachstellen zur Verfügung.

Version 4 (2022-01-24 15:23)

Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop, for Scientific Computing), Red Hat Enterprise Linux for x86_64 und ARM 64 8, Red Hat CodeReady Linux Builder for x86_64 und ARM 64 8, Red Hat Enterprise Linux for x86_64 und ARM 64 - Extended Update Support 8.2, Red Hat Enterprise Linux Server - AUS / TUS 8.2 (x86_64), Red Hat Enterprise Linux for x86_64 und ARM 64 - Extended Update Support 8.4, Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64) stehen Sicherheitsupdates für 'java-11-openjdk' zur Behebung der Schwachstellen zur Verfügung.

Version 5 (2022-01-25 08:47)

Die von Red Hat veröffentlichten aktuellen Builds von OpenJDK 11 (java-11-openjdk) und 17 (java-17-openjdk) stehen jetzt für Windows und Portable Linux bereit. Oracle stellt für Oracle Linux 7 und 8 ebenfalls Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-11-openjdk' adressiert werden.

Version 6 (2022-01-25 17:22)

Für Debian 10 Buster (oldstable) steht die Version 11.0.14+9-1~deb10u1 und für Debian 11 Bullseye (stable) die Version 11.0.14+9-1~deb11u1 von 'openjdk-11' bereit, um die betreffenden Schwachstelle zu beheben.

Version 7 (2022-01-26 12:20)

Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'openjdk-17' in Version 17.0.2+8-1~deb11u1 bereit, um die betreffenden Schwachstelle zu beheben.

Version 8 (2022-01-28 11:14)

Sicherheitsupdates zur Behebung der Schwachstellen in 'java-1.8.0-openjdk' stehen jetzt für Red Hat Enterprise Linux 7 und 8, Oracle Linux 7 und 8 sowie Red Hat Enterprise Linux 8.2 und 8.4 Extended Update Support bereit. Zusätzlich werden Red Hats eigene Builds von OpenJDK 8 für Windows und Portable Linux veröffentlicht. Weitere Sicherheitsupdates zur Behebung der Schwachstellen in 'java-11-openjdk' und 'java-latest-openjdk' stehen für Fedora 34 und 35 im Status 'testing' oder 'pending' (nur Fedora 34, java-11-openjdk) zur Verfügung.

Version 9 (2022-02-03 08:23)

Für Fedora 34 und 35 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'java-1.8.0-openjdk' im Status 'testing' bereit. Hiermit erfolgt eine Aktualisierung auf OpenJDK 8u322.

Version 10 (2022-02-10 11:21)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'openjdk-8' in Version 8u322-b06-1~deb9u1 bereit, um die betreffenden Schwachstellen zu beheben. Hiermit erfolgt eine Aktualisierung auf OpenJDK 8u322.

Version 11 (2022-02-14 10:14)

Für Fedora 34 und 35 stehen nun auch Sicherheitsupdates zur Behebung der Schwachstellen in 'java-1.8.0-openjdk-aarch32' im Status 'testing' bereit. Hiermit erfolgt eine Aktualisierung auf OpenJDK 8u322.

Version 12 (2022-02-16 09:08)

Für Fedora 34 steht nun ein Sicherheitsupdate in Form des Pakets 'java-11-openjdk-11.0.14.1.1-1.fc34' im Status 'testing' bereit, welches das Update FEDORA-2022-6f70fc511d (Fedora 34, java-11-openjdk-11.0.14.0.9-2.fc34) ersetzt, das in den Status 'obsolete' überführt wurde (Referenz hier entfernt). Hiermit erfolgt eine Aktualisierung auf OpenJDK 11.0.14.1.

Version 13 (2022-02-18 11:38)

Für Fedora 34 steht nun ein Sicherheitsupdate in Form des Pakets 'java-11-openjdk-11.0.14.1.1-4.fc34' im Status 'testing' bereit, welches das Update FEDORA-2022-d877b248a5 (Fedora 34, java-11-openjdk-11.0.14.1.1-1.fc34) ersetzt, das in den Status 'obsolete' überführt wurde (Referenz hier entfernt). Hiermit erfolgt ebenfalls eine Aktualisierung auf OpenJDK 11.0.14.1.

Version 14 (2022-03-07 09:03)

Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für 'java-11-openjdk' bereit, um 15 Schwachstellen zu beheben.

Version 15 (2022-03-07 16:17)

Canonical adressiert die relevanten Schwachstellen in Sicherheitsupdates von 'openjdk-17' und 'openjdk-lts' für Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS.

Version 16 (2022-03-14 17:42)

Für die Distribution openSUSE Leap 15.3 sowie für SUSE Linux Enterprise Desktop 15 SP3, SUSE Linux Enterprise High Performance Computing 15 SP3, SUSE Linux Enterprise Module for Basesystem 15 SP3, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP3, SUSE Linux Enterprise Realtime Extension 15 SP2, SUSE Linux Enterprise Server 15 SP3, SUSE Linux Enterprise Server for SAP Applications 15 SP3, SUSE Manager Proxy 4.2 und SUSE Manager Server 4.2 stehen Sicherheitsupdates für 'java-11-openjdk' bereit, um die 15 Schwachstellen zu beheben.

Version 17 (2022-03-17 08:21)

Für die Distributionen openSUSE Leap 15.3 und 15.4 sowie für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS, 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4, SUSE Linux Enterprise Server 15 LTSS, 15 SP1 BCL / LTSS, 15 SP2 LTSS, SUSE Linux Enterprise Server for SAP 15, 15 SP1, 15 SP2, SUSE Linux Enterprise Module for Legacy Software 15 SP3, 15 SP4, SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Manager Proxy 4.1 und 4.2, SUSE Manager Retail Branch Server 4.1, SUSE Manager Server 4.1 und 4.2, SUSE OpenStack Cloud 8 und 9, SUSE OpenStack Cloud Crowbar8 und 9 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' zur Behebung von 13 Schwachstellen bereit. Hiermit erfolgt ein Update auf jdk8u322 (icedtea-3.22.0). Für die Distributionen openSUSE Leap 15.3 und 15.4 stehen außerdem Sicherheitsupdates für 'java-1_8_0-openj9' auf OpenJDK 8u322 Build 04 mit OpenJ9 0.30.0 zur Verfügung, um 14 Schwachstellen zu beheben.

Version 18 (2022-03-21 13:27)

Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop, for Scientific Computing) (x86_64) stehen Sicherheitsupdates für 'java-1.8.0-ibm' bereit, womit IBM Java SE 8 auf Version 8 SR7-FP5 aktualisiert wird, sowie für 'java-1.7.1-ibm', womit IBM Java SE 7 auf Version 7R1 SR5-FP5 aktualisiert wird. Für Red Hat Enterprise Linux for x86_64 8 (x86_64) wird mit einem Sicherheitsupdate für 'java-1.8.0-ibm' ebenfalls IBM Java SE 8 auf Version 8 SR7-FP5 aktualisiert.

Version 19 (2022-03-23 16:33)

Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate für 'java-1_7_1-ibm' bereit, womit Java 7.1 auf Service Refresh 7 Fix Pack 5 aktualisiert wird, um die betreffenden Schwachstellen zu beheben.

Version 20 (2022-03-23 17:32)

Für Fedora EPEL 8 steht ein Sicherheitsupdate in Form des Pakets 'java-latest-openjdk-17.0.2.0.8-1.rolling.el8' im Status 'testing' bereit, womit eine Aktualisierung auf OpenJDK 17.0.2 (2022-01-18) erfolgt.

Version 21 (2022-03-29 18:01)

Durch das Sicherheitsupdate USN-5313-1 für Ubuntu 21.10, 'Ubuntu 20.04 LTS und Ubuntu 18.04 LTS ist es zu einer Regression in OpenJDK 11 gekommen, die hiermit behoben werden soll.

Version 22 (2022-03-30 12:43)

Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Module for Legacy Software 15 SP3 und SP4, SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP3 LTSS, 12 SP4 LTSS, 12 SP5, 15 LTSS, 15 SP1 BCL, 15 SP1 LTSS und 15 SP2 LTSS, SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4, 15, 15 SP1, 15 SP2 sowie SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager Proxy 4.1 und 4.2, SUSE Manager Retail Branch Server 4.1, SUSE Manager Server 4.1 und 4.2, SUSE OpenStack Cloud 8 und 9 sowie SUSE OpenStack Cloud Crowbar 8 und 9 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'java-1_8_0-ibm' und 'java-1_7_1-ibm' (nur SUSE-SU-2022:1025-1) bereit.

Betroffene Software

Entwicklung
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Alle Schwachstellen betreffen Client-Installationen, die nicht vertrauenswürdigen Programmcode in der Java Sandbox ausführen oder können über Anwendungen, die nicht vertrauenswürdige Daten an Programmschnittstellen (APIs) der betroffenen Komponenten übermitteln, ausgenutzt werden.

Oracle stellt die Sicherheitsupdates Java SE Development Kit 7, Update 331 (JDK 7u331); Java SE Development Kit 8, Update 321 (JDK 8u321) sowie Java SE Development Kit 11.0.14 und 17.0.2 zur Behebung der Schwachstellen zur Verfügung. Java SE Embedded 8u321 adressiert die für JDK 8u321 relevanten Schwachstellen ebenfalls.

Oracle veröffentlicht zudem GraalVM Enterprise Edition 20.3.5 und 21.3.1, mit denen abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 8u321, 11.0.14 oder 17.0.2 umgesetzt wird. Gleichzeitig wird Node.js auf Version 14.18.1 aktualisiert, wodurch zwei weitere Schwachstellen behoben werden, die einem Angreifer aus der Ferne HTTP-Request-Smuggling-Angriffe ermöglichen (CVE-2021-22959, CVE-2021-22960).

Schwachstellen:

CVE-2022-21248

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2022-21271 CVE-2022-21283 CVE-2022-21293 CVE-2022-21294 CVE-2022-21340

Schwachstellen in Oracle Java SE ermöglichen Denial-of-Service-Angriff

CVE-2022-21277 CVE-2022-21360 CVE-2022-21365 CVE-2022-21366

Schwachstellen in Oracle Java SE ermöglichen Denial-of-Service-Angriff

CVE-2022-21282 CVE-2022-21296

Schwachstellen in Oracle Java SE ermöglichen Ausspähen von Informationen

CVE-2022-21291 CVE-2022-21305

Schwachstellen in Oracle Java SE ermöglichen Manipulation von Daten

CVE-2022-21299

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2022-21341

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2022-21349

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.