2022-1606: Oracle Java SE, OpenJDK, IBM Java SDK: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2022-07-20 08:55)

Neues Advisory

Version 2 (2022-07-22 11:59)

Oracle veröffentlicht für Oracle Linux 7 und 8 (aarch64, x86_64) Sicherheitsupdates für ' java-11-openjdk' und adressiert damit die Schwachstellen CVE-2022-21540, CVE-2022-21541 und CVE-2022-34169. Korrespondierende Sicherheitsupdates stellt Red Hat für Red Hat Enterprise Linux for x86_64 und for ARM 64 8, EUS 8.2, EUS 8.4 und EUS 8.6, Red Hat Enterprise Linux Server AUS und TUS 8.2, 8.4 und 8.6 (x86_64) sowie CodeReady for x86_64 und for ARM 64 8, EUS 8.4 und EUS 8.6 zur Verfügung.

Version 3 (2022-07-25 08:35)

Für Debian 10 Buster (oldstable) und Debian 11 Bullseye (stable) stehen Sicherheitsupdates für 'openjdk-11' in den Versionen 11.0.16+8-1~deb10u1 und 11.0.16+8-1~deb11u1 bereit.

Version 4 (2022-07-25 13:11)

Für Red Hat Enterprise Linux Server / Workstation / Desktop / for Scientific Computing 7 (x86_64) stehen Sicherheitsupdates für 'java-11-openjdk' bereit, um die Schwachstellen zu beheben.

Version 5 (2022-07-26 09:45)

Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.2, 8.4, 8.6 und 9.0 (x86_64, aarch64), Red Hat Enterprise Linux Server / Workstation / Desktop 7 (x86_64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.2, 8.4, 8.6 und 9.0 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.2, 8.4 und 8.6 (x86_64), Red Hat Enterprise Linux Server - TUS 8.2, 8.4 und 8.6 (x86_64) sowie für Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'java-1.8.0-openjdk' bzw. 'java-11-openjdk' zur Verfügung. Oracle veröffentlicht für Oracle Linux 7, 8 und 9 (aarch64, x86_64) korrespondierende Sicherheitsupdates für ' java-1.8.0-openjdk' bzw. 'java-11-openjdk', um die jeweils betreffenden Schwachstellen zu beheben.

Version 6 (2022-07-27 10:05)

Das OpenJDK-Projekt gibt an, dass die für die einzelnen Versionszweige relevanten Schwachstellen mit OpenJDK 7u351, 8u342, 11.0.16, 13.0.12, 15.0.8, 17.0.4 und 18.0.2 adressiert werden. Für Fedora 35 und 36 stehen entsprechende Sicherheitsupdates für 'java-1.8.0-openjdk', 'java-11-openjdk', 'java-17-openjdk' und 'java-latest-openjdk' im Status 'testing' zur Verfügung.

Version 7 (2022-07-27 12:30)

Für Red Hat Enterprise Linux 8 und Oracle Linux 8 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in java-17-openjdk adressiert werden.

Version 8 (2022-07-27 14:21)

Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'openjdk-17' in der Version 17.0.4+8-1~deb11u1 bereit.

Version 9 (2022-07-27 18:13)

Oracle veröffentlicht für Oracle Linux 9 (aarch64, 86_64) Sicherheitsupdates für 'java-1.8.0-openjdk'.

Version 10 (2022-07-28 11:55)

Für Red Hat Enterprise Linux 9 und Oracle Linux 9 stehen Sicherheitsupdates bereit, mit denen die für 'java-17-openjdk' relevanten Schwachstellen adressiert werden. Die betroffene Software wird damit auf Version 17.0.4.0.8 aktualisiert.

Version 11 (2022-07-29 09:25)

Für OpenJDK Java (for Middleware) 1 (x86_64) stehen Sicherheitsupdates in Form der Red Hat Builds of OpenJDK 8 (java-1.8.0-openjdk) in Version 8u342 für Linux und Windows zur Verfügung, um die betreffenden Schwachstellen zu beheben.

Version 12 (2022-08-01 17:01)

Für OpenJDK Java (for Middleware) 1 (x86_64) stehen von Red Hat gebaute Versionen von OpenJDK 11.0.16 und OpenJDK 17.0.4 als Sicherheitsupdates für Windows und Linux zur Verfügung.

Version 13 (2022-08-02 16:50)

Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für 'java-11-openjdk' zur Verfügung.

Version 14 (2022-08-04 12:31)

Für openSUSE Leap 15.4, SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Module for Basesystem 15 SP4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 sowie SUSE Manager Server 4.3 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-17-openjdk' behoben werden.

Version 15 (2022-08-05 10:49)

Für Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 ESM stehen mit aktualisierten Paketen von 'openjdk-8', 'openjdk-17', 'openjdk-18' und 'openjdk-lts' Sicherheitsupdates für verschiedene Versionszweige von OpenJDK auf Basis aktueller Versionen der Software bereit. In den Sicherheitshinweisen werden zusätzliche Schwachstellen erwähnt, die mit früheren Versionen von OpenJDK adressiert wurden.

Version 16 (2022-08-09 18:53)

Für openSUSE Leap 15.3 und 15.4, SUSE CaaS Platform 4.0, SUSE Linux Enterprise Desktop 15 SP3 und SP4, SUSE Linux Enterprise High Performance Computing 15 ESPOS, LTSS, SP1 ESPOS, SP1 LTSS, SP2 ESPOS, SP2 LTSS, SP3 und SP4, SUSE Linux Enterprise Module for Basesystem 15 SP3 und SP4, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP3 und SP4, SUSE Linux Enterprise Server 15 LTSS, SP1 BCL, SP1 LTSS, SP2 BCL, SP2 LTSS, SP3 und SP4, SUSE Linux Enterprise Server for SAP 15, 15 SP1 und SP2 sowie SUSE Linux Enterprise Server for SAP Applications 15 SP3 und SP4, SUSE Linux Enterprise Storage 6, 7 und 7.1 sowie SUSE Manager Proxy, Server und Retail Branch Server 4.1, 4.2 und 4.3 stehen Sicherheitsupdates bereit, um die für 'java-11-openjdk' relevanten Schwachstellen zu adressieren.

Version 17 (2022-08-17 09:25)

Für SUSE Linux Enterprise Server 12 SP2 BCL 12 SP3 BCL, 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1_8_0-openjdk' behoben werden.

Version 18 (2022-08-22 09:54)

Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux Enterprise Module for Legacy Software 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 15 LTSS, 15 SP1 BCL / LTSS und 15 SP2 LTSS, SUSE Linux Enterprise Server for SAP 15, 15 SP1 und 15 SP2, SUSE Linux Enterprise Storage 7.1, SUSE Manager Proxy 4.1, 4.2 und 4.3, SUSE Manager Retail Branch Server 4.1, 4.2 und 4.3, SUSE Manager Server 4.1, 4.2 und 4.3, sowie für openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1_8_0-openjdk' behoben werden.

Version 19 (2022-08-23 09:35)

Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'java-latest-openjdk-18.0.2.0.9-1.rolling.el7' im Status 'testing' zur Verfügung.

Version 20 (2022-08-26 08:33)

Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1_7_1-ibm' und 'java-1_8_0-ibm' behoben werden.

Version 21 (2022-08-31 18:40)

Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux Enterprise Module for Legacy Software 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 15 LTSS, 15 SP1 BCL / LTSS und 15 SP2 LTSS, SUSE Linux Enterprise Server for SAP 15, 15 SP1 und 15 SP2, SUSE Linux Enterprise Storage 7.1, SUSE Manager Proxy 4.1, 4.2 und 4.3, SUSE Manager Retail Branch Server 4.1, 4.2 und 4.3, SUSE Manager Server 4.1, 4.2 und 4.3 sowie für openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1_8_0-ibm' behoben werden.

Version 22 (2022-09-01 11:40)

Der Hersteller IBM informiert darüber, dass die Schwachstellen auch IBM® SDK, Java™ Technology Edition betreffen können und stellt die Versionen 7.0.11.15 und 8.0.7.15 zu deren Behebung bereit. Die Schwachstellen CVE-2022-21541 und CVE-2022-21540 betreffen dabei nur Solaris, HP-UX und MacOS.

Version 23 (2022-09-08 10:10)

Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'java-1_8_0-ibm' behoben werden.

Version 24 (2022-09-08 12:53)

Der Hersteller IBM informiert darüber, dass die vom OpenJDK-Projekt als Teil des Schwachstellen-Advisories vom Juli 2022 veröffentlichten Java-SE-Schwachstellen auch IBM Semeru Runtime in den Versionen 8.0.302.0 - 8.0.332.0, 11.0.12.0 - 11.0.15.0, 17.0.1.0 - 17.0.3.0 und 18.0.1.0 - 18.0.1.1 betreffen können und stellt die Versionen 8.0.345.0, 11.0.16.0, 17.0.4.0 und 18.0.2.0 zu deren Behebung bereit, wobei insbesondere CVE-2022-34169 und CVE-2022-21549 referenziert werden.

Version 25 (2022-09-15 10:16)

Für Fedora EPEL 8 und 9 stehen Sicherheitsupdates in Form von 'java-latest-openjdk-18.0.2.0.9-1.rolling'-Paketen im Status 'testing' zur Verfügung.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und möglicherweise beliebigen Java-Bytecode zur Ausführung zu bringen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Alle Schwachstellen betreffen Client-Installationen, die nicht vertrauenswürdigen Programmcode in der Java Sandbox ausführen oder können über Anwendungen, die nicht vertrauenswürdige Daten an Programmschnittstellen (APIs) der betroffenen Komponenten übermitteln, ausgenutzt werden.

Oracle stellt die Sicherheitsupdates Java SE Development Kit 7, Update 351 (JDK 7u351); Java SE Development Kit 8, Update 341 (JDK 8u341) sowie Java SE Development Kit 11.0.16, 17.0.4 und 18.0.2 zur Behebung der Schwachstellen zur Verfügung. Java SE Embedded 8u341 adressiert die für JDK 8u341 relevanten Schwachstellen ebenfalls.

Schwachstellen:

CVE-2022-21540

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2022-21541

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2022-21549

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2022-34169

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.