2023-1653: OpenJDK, Oracle JDK, Oracle Java SE Embedded: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2023-07-19 13:05)

Neues Advisory

Version 2 (2023-07-20 13:45)

Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.6 und 9.0 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.6 und 9.0 (x86_64, aarch64), Red Hat Enterprise Linux Server AUS / TUS 8.2, 8.4 und 8.6 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'java-11-openjdk', 'java-17-openjdk' und 'java-1.8.0-openjdk' bereit, um die Schwachstellen zu beheben.

Version 3 (2023-07-21 09:56)

Für Red Hat Enterprise Linux 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux 8.8 EUS und 9.2 EUS (x86_64, aarch64), Red Hat Enterprise Linux Server 8.8 TUS (x86_64), Red Hat Enterprise Linux Server 9.2 AUS (x86_64), Red Hat Enterprise Linux Server 9.2 4 Years of Updates (aarch64), Red Hat CodeReady Linux Builder 8 und 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder 8.8 EUS und 9.2 EUS (x86_64, aarch64) stehen Sicherheitsupdates für 'java-11-openjdk', 'java-17-openjdk' und 'java-1.8.0-openjdk' zur Verfügung. Für OpenJDK Java (for Middleware) 1 (x86_64) stehen außerdem Sicherheitsupdates von Red Hat Build of OpenJDK 8, Red Hat build of OpenJDK 11 und Red Hat build of OpenJDK 17 für Windows und Portable Linux bereit.

Version 4 (2023-07-21 15:51)

Für Oracle Linux 7 (x86_64, aarch64) und Red Hat Enterprise Linux 7 (Server, Workstation, Desktop, for Scientific Computing stehen Sicherheitsupdates für 'java-11-openjdk' und 'java-1.8.0-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 5 (2023-07-26 11:20)

Für Oracle Linux 8 und 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-1.8.0-openjdk' bereit, um die betreffenden Schwachstellen zu beheben. Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'openjdk-17' in Version 17.0.8+7-1~deb12u1 zur Verfügung. Das Debian-Projekt gib außerdem bekannt, dass zuerst noch Abhängigkeiten zurückportiert werden müssen, bevor ein Sicherheitsupdate für Debian 11 Bullseye (oldstable) veröffentlicht werden kann.

Version 6 (2023-07-26 11:48)

Für Oracle Linux 8 (x86_64, aarch64) steht ein Sicherheitsupdate für 'java-17-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 7 (2023-07-27 09:22)

Für Oracle Linux 9 (x86_64, aarch64) sowie für SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Server und SUSE Linux Enterprise Server for SAP Applications jeweils in Version 12 SP5 stehen Sicherheitsupdates für 'java-11-openjdk' zur Verfügung.

Version 8 (2023-07-31 10:22)

Es stehen für 'java-17-openjdk' für Oracle Linux 9 (x86_64, aarch64) und für ' java-11-openjdk' für Oracle Linux 8 (x86_64, aarch64) Sicherheitsupdates bereit, um die betreffenden Schwachstellen zu schließen.

Version 9 (2023-07-31 14:12)

Für Basesystem Module 15 SP4 und SP5, openSUSE Leap 15.4 und 15.5, SUSE Linux Enterprise Desktop 15 SP4 und SP5, SUSE Linux Enterprise High Performance Computing 15 SP4 und SP5, SUSE Linux Enterprise Real Time 15 SP4 und SP5, SUSE Linux Enterprise Server 15 SP4 und SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP4 und SP5 sowie für SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'java-17-openjdk' bereit, mit denen die Schwachstellen behoben werden. Die betroffene Software wird damit auf Version 'jdk-17.0.8+7' aktualisiert.

Version 10 (2023-08-01 13:48)

Canonical stellt für Ubuntu 23.04, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM Sicherheitsupdates für 'openjdk-17', 'openjdk-8' und 'openjdk-lts' bereit, um die Schwachstellen zu beheben.

Version 11 (2023-08-04 11:32)

Für Ubuntu 23.04 steht ein Sicherheitsupdate für 'openjdk-20' zur Verfügung.

Version 12 (2023-08-07 10:30)

Für Fedora 37 und 38 stehen Sicherheitsupdates in Form von 'java-17-openjdk-portable-17.0.8.0.7-1'-, 'java-1.8.0-openjdk-portable-1.8.0.382.b05-1'-, 'openjdk-portable-11.0.20.0.8-1'- und 'java-latest-openjdk-portable-20.0.2.0.9-1.rolling'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 13 (2023-08-08 11:57)

Für Fedora 37 und 38 stehen 'java-17-openjdk-17.0.8.0.7-1-'-, 'java-1.8.0-openjdk-1.8.0.382.b05-1'-, 'java-11-openjdk-11.0.20.0.8-1'-Pakete und für Fedora 37 und 38 sowie Fedora EPEL 8 und 9 stehen 'java-latest-openjdk-20.0.2.0.9-1.rolling'-Pakete im Status 'testing' als Sicherheitsupdates bereit, um die betreffenden Schwachstellen zu adressieren.

Version 14 (2023-08-11 11:21)

Für Fedora 37 und 38 stehen aktualisierte Sicherheitsupdates in Form von 'java-1.8.0-openjdk-1.8.0.382.b05-2'-Paketen im Status 'testing' zur Verfügung, wodurch die vorhergehenden Updates in den Status 'obsolete' übergegangen sind und deshalb ihre Referenzen hier entfernt wurden.

Version 15 (2023-08-11 17:57)

Für Basesystem Module 15 SP4 und 15 SP5, openSUSE Leap 15.4 und 15.5, SUSE CaaS Platform 4.0, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise Desktop 15 SP4 und 15 SP5, SUSE Linux Enterprise High Performance Computing 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 ESPOS / LTSS, 15 SP4 und SP5, SUSE Linux Enterprise Micro 5.3, 5.4 und 5.5, SUSE Linux Enterprise Real Time 15 SP4 und 15 SP5, SUSE Linux Enterprise Server 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, SUSE Manager Proxy 4.2 und 4.3, SUSE Manager Retail Branch Server 4.2 und 4.3, SUSE Manager Server 4.2 und 4.3 sowie SUSE Package Hub 15 SP4 und 15 SP5 stehen Sicherheitsupdates für 'java-11-openjdk' bereit, mit denen die betreffenden Schwachstellen behoben werden. Die betroffene Software wird damit auf Version 'jdk-11.0.20+8' aktualisiert.

Version 16 (2023-08-16 17:38)

Für openSUSE Leap 15.4 und 15.5, SUSE Linux Enterprise Desktop 15 SP5, SUSE Linux Enterprise High Performance Computing 15 SP5, SUSE Linux Enterprise Micro 5.5, SUSE Linux Enterprise Real Time 15 SP5, SUSE Linux Enterprise Server 15 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP5 und SUSE Package Hub 15 SP5 stehen Sicherheitsupdates für 'java-1_8_0-openj9' bereit, mit denen die betreffenden Schwachstellen behoben werden. Die betroffene Software wird damit auf Version 8u382 Build 05 mit OpenJ9 0.40.0 VM aktualisiert.

Version 17 (2023-08-30 16:35)

Bei Behebung der Schwachstellen in OpenJDK mit USN-6263-1 wurde eine Regression eingeführt, wenn APK-, ZIP- oder JAR-Dateien in OpenJDK 11 und OpenJDK 17 geöffnet werden. Canonical behebt die Regression mit einem neuen Update.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Cloud
HP
Apple
Linux
Microsoft
Oracle
UNIX
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei weitere Schwachstellen können lokal ausgenutzt werden, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei der Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle stellt im Rahmen des Patchtags im Juli 2023 die Sicherheitsupdates Java SE Development Kit 7u391 Restricted, 8u381, 11.0.20, 17.0.8 und 20.0.2 zur Behebung der Schwachstellen zur Verfügung. Die Schwachstelle CVE-2023-22043 betrifft hier nur Java SE 8u371. Java SE Embedded 8u381 adressiert die für JDK 8u381 relevanten Schwachstellen ebenfalls.

Darüber hinaus werden Sicherheitsupdates zur Behebung der Schwachstellen in OpenJDK 20.0.1, 17.0.7, 11.0.19 und 8u372 veröffentlicht. Hierbei wird CVE-2023-22043 (OpenJFX) für die Versionszweige 11, 17 und 20 aufgeführt.

Schwachstellen:

CVE-2023-22006

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-22036

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2023-22041

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2023-22043

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-22044

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2023-22045

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2023-22049

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-25193

Schwachstelle in HarfBuzz ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.