2024-0129: Oracle GraalVM, GraalVM for JDK: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff
Historie:
- Version 1 (2024-01-17 14:59)
- Neues Advisory
Betroffene Software
Entwicklung
Virtualisierung
Betroffene Plattformen
Apple
Linux
Microsoft
Container
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Oracle veröffentlicht im Rahmen des Patchtags im Januar 2024 die GraalVM Enterprise Edition Versionen 20.3.13, 21.3.9 und 22.3.5, mit denen abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 8u401-b10, 11.0.22+9 oder 17.0.10+11 umgesetzt wird.
Als weitere Sicherheitsupdates stehen Oracle GraalVM for JDK 17.0.10 und 21.0.2 bereit. Die GraalVM Community Edition for JDK Version 21.0.2 wird als Sicherheitsupdates für den 16.1.2024 angekündigt.
Mit der Behebung der Schwachstelle CVE-2023-28484 wird außerdem die Schwachstelle CVE-2023-45143 adressiert.
Schwachstellen:
CVE-2023-44487
Schwachstelle in IETF HTTP/2-Implementierung ermöglicht Denial-of-Service-AngriffCVE-2023-5072
Schwachstelle in JSON-Java ermöglicht Denial-of-Service-AngriffCVE-2024-20918
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-20919
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-20921
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Ausspähen von InformationenCVE-2024-20922
Schwachstelle in GraalVM und Oracle JDK ermöglicht Manipulation von DateienCVE-2024-20923
Schwachstelle in GraalVM und Oracle JDK ermöglicht Ausspähen von InformationenCVE-2024-20925
Schwachstelle in GraalVM und Oracle JDK ermöglicht Manipulation von DateienCVE-2024-20926
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Ausspähen von InformationenCVE-2024-20932
Schwachstelle in GraalVM, GraalVM for JDK und Oracle JDK ermöglicht Manipulation von DateienCVE-2024-20945
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Ausspähen von InformationenCVE-2024-20952
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-20955
Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.