2022-0871: Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2022-04-20 12:18): Neues Advisory
Version 2 (2022-04-21 11:06): Laut Entdeckern der Schwachstelle CVE-2022-21449 ist diese schwerwiegender einzustufen, als Oracle das zunächst getan hat. Die Schwachstelle wurde demzufolge mit Oracle JDK 15 eingeführt und ermöglicht das vollständige Umgehen von auf ECDSA-Signaturen basierenden Sicherheitsvorkehrungen. Der Patch beinhaltet allerdings auch weiter zurückgehende Änderungen am Programmcode in der (non-EC) DSA-Implementierung, so dass alle aufgeführten Versionszweige auch weiterhin als betroffen anzusehen sind.
Version 3 (2022-04-21 13:53): Die Schwachstellen betreffen auch OpenJDK 18, 17.0.2, 15.0.6, 13.0.10, 11.0.14, 8u322 und 7u331, wobei CVE-2022-21449 erst ab OpenJDK 15 relevant ist. Das OpenJDK-Projekt stellt OpenJDK 13.0.11 und 15.0.7 zur Behebung der relevanten Schwachstellen zur Verfügung. Weitere Updates können über die öffentlichen Repositories von OpenJDK bezogen werden. Für OpenJDK 7 und 8 stehen noch keine General Availability (GA) Releases zur Verfügung. Für Red Hat Enterprise Linux 8 und Oracle Linux 8 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-17-openjdk' und 'java-11-openjdk' adressiert werden. Updates für 'java-11-openjdk' stehen darüber hinaus für Red Hat Enterprise Linux 7, Oracle Linux 7 sowie Red Hat Enterprise Linux 8.2 und 8.4 Extended Update Support (EUS) zur Verfügung.
Version 4 (2022-04-26 09:57): Für Oracle Linux 7 und 8, Red Hat Enterprise Linux 7 und 8 sowie Red Hat Enterprise Linux 8.2 und 8.4 Extended Update Support (EUS) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1.8.0-openjdk' adressiert werden.
Version 5 (2022-04-26 17:55): Canonical stellt für Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'openjdk-lts' und 'openjdk-17' bereit, um die Schwachstellen zu beheben.
Version 6 (2022-04-29 12:14): Red Hat stellt für OpenJDK Java (for Middleware) 1 (x86_64) folgende Sicherheitsupdates bereit: OpenJDK 8u332 (java-1.8.0-openjdk) sowie OpenJDK 11.0.15 (java-11-openjdk) jeweils für Portable Linux Builds und Windows.
Version 7 (2022-04-29 16:24): Red Hat stellt für OpenJDK Java (for Middleware) 1 (x86_64) als Sicherheitsupdate OpenJDK 17.0.3 (java-17-openjdk) für Portable Linux Builds und Windows zur Verfügung.
Version 8 (2022-05-02 10:45): Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für 'java-11-openjdk' bereit, um die fünf relevanten Schwachstellen zu beheben. Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'java-1.8.0-openjdk-1.8.0.332.b09-1.fc34', 'java-11-openjdk-11.0.15.0.10-1.fc34', 'java-17-openjdk-17.0.3.0.7-1.fc34' und 'java-latest-openjdk-18.0.1.0.10-1.rolling.fc34' sowie 'java-1.8.0-openjdk-1.8.0.332.b09-1.fc35', 'java-11-openjdk-11.0.15.0.10-1.fc35', 'java-17-openjdk-17.0.3.0.7-1.fc35' und 'java-latest-openjdk-18.0.1.0.10-1.rolling.fc35' im Status 'testing' zur Verfügung.
Version 9 (2022-05-04 11:27): Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux Enterprise Desktop 15 SP3 und 15 SP4, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS, 15 SP1 ESPOS / LTSS, 15 SP2 ESPOS / LTSS, 15 SP3 und 15 SP4, SUSE Linux Enterprise Module for Basesystem 15 SP3 und 15 SP4, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP3 und 15 SP4, SUSE Linux Enterprise Realtime Extension 15 SP2, SUSE Linux Enterprise Server 15 LTSS, 15 SP1 BCL / LTSS, 15 SP2 BCL / LTSS, 15 SP3 und 15 SP4, SUSE Linux Enterprise Server for SAP 15, 15 SP1 und 15 SP2, SUSE Linux Enterprise Server for SAP Applications 15 SP3 und 15 SP4, SUSE Manager Proxy 4.1 und 4.2, SUSE Manager Retail Branch Server 4.1, SUSE Manager Server 4.1 und 4.2 sowie für die Distributionen openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates für 'java-11-openjdk' bereit, um die fünf relevanten Schwachstellen zu beheben.
Version 10 (2022-05-05 10:53): Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'java-latest-openjdk-18.0.1.0.10-1.rolling.el7' im Status 'testing' zur Verfügung. Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'openjdk-17' in Version 17.0.3+7-1~deb11u1 bereit, um die betreffenden Schwachstellen zu beheben.
Version 11 (2022-05-05 12:45): Für Fedora 35 steht ein Sicherheitsupdate in Form des Pakets 'java-1.8.0-openjdk-aarch32-1.8.0.332.b09-1.fc35' im Status 'testing' zur Verfügung.
Version 12 (2022-05-05 14:02): Für Fedora 34 steht ein Sicherheitsupdate in Form des Pakets 'java-1.8.0-openjdk-aarch32-1.8.0.332.b09-1.fc34' im Status 'testing' zur Verfügung.
Version 13 (2022-05-06 09:09): Für Debian 10 Buster (oldstable) steht Version 11.0.15+10-1~deb10u1 und für Debian 11 Bullseye (stable) steht Version 11.0.15+10-1~deb11u1 von 'openjdk-11' bereit, um die betreffenden Schwachstellen zu beheben.
Version 14 (2022-05-16 12:35): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'openjdk-8' in Version 8u332-ga-1~deb9u1 bereit, um die für den Versionszweig relevanten Schwachstellen zu adressieren.
Version 15 (2022-05-18 11:03): Für Fedora EPEL 8 steht ein Sicherheitsupdate in Form des Pakets 'java-latest-openjdk-18.0.1.0.10-1.rolling.el8' im Status 'testing' zur Verfügung.
Version 16 (2022-05-20 11:52): Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.0 (x86_64, aarch64) und Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) sowie Red Hat CodeReady Linux Builder for x86_64 / ARM 64 9 (x86_64, aarch64) und Red Hat Enterprise CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.0 (x86_64, aarch64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1.8.0-openjdk', 'java-11-openjdk' und 'java-17-openjdk' adressiert werden.
Version 17 (2022-06-09 16:21): Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop, for Scientific Computing) (x86_64) stehen Sicherheitsupdates für 'java-1.8.0-ibm' bereit, womit IBM Java SE 8 auf Version 8 SR7-FP10 aktualisiert wird, sowie für 'java-1.7.1-ibm', womit IBM Java SE 7 auf Version 7R1 SR5-FP10 aktualisiert wird.
Version 18 (2022-07-04 10:58): Für Oracle Linux 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'java-1.8.0-openjdk', 'java-11-openjdk' und 'java-17-openjdk' bereit, um die jeweiligen Schwachstellen zu beheben.
Version 19 (2022-07-25 09:52): Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux Enterprise Storage 7.1, SUSE Linux Enterprise Module for Legacy Software 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS, 12 SP5, 15 LTSS, 15 SP1 BCL / LTSS und 15 SP2 BCL / LTSS, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise Server for SAP 15, 15 SP1 und 15 SP2, SUSE Manager Proxy 4.1, 4.2 und 4.3, SUSE Manager Retail Branch Server 4.1, 4.2 und 4.3, SUSE Manager Server 4.1, 4.2 und 4.3, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 sowie für die Distributionen openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, um die fünf relevanten Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Dateien zu manipulieren, Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Alle Schwachstellen betreffen Client-Installationen, die nicht vertrauenswürdigen Programmcode in der Java Sandbox ausführen oder können über Anwendungen, die nicht vertrauenswürdige Daten an Programmschnittstellen (APIs) der betroffenen Komponenten übermitteln, ausgenutzt werden.

Oracle stellt die Sicherheitsupdates Java SE Development Kit 7, Update 341 (JDK 7u341); Java SE Development Kit 8, Update 331 (JDK 8u331) sowie Java SE Development Kit 11.0.15, 17.0.3 und 18.0.1 zur Behebung der Schwachstellen zur Verfügung. Java SE Embedded 8u331 adressiert die für JDK 8u331 relevanten Schwachstellen ebenfalls.

Schwachstellen:

CVE-2022-21426

Schwachstelle in Oracle Java SE und OpenJDK ermöglicht Denial-of-Service-Angriff

CVE-2022-21434

Schwachstelle in Oracle Java SE und OpenJDK ermöglicht Manipulation von Daten

CVE-2022-21443

Schwachstelle in Oracle Java SE und OpenJDK ermöglicht Denial-of-Service-Angriff

CVE-2022-21449

Schwachstelle in Oracle Java SE und OpenJDK ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-21476

Schwachstelle in Oracle Java SE und OpenJDK ermöglicht Ausspähen von Informationen

CVE-2022-21496