2024-1859: OpenJDK, Oracle JDK, Oracle Java SE Embedded: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2024-07-17 12:10)

Neues Advisory

Version 2 (2024-07-17 16:09)

Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64) und Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 (aarch64) stehen Sicherheitsupdates für 'java-21-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 3 (2024-07-18 13:34)

Red Hat stellt die OpenJDK 11.0.24, OpenJDK 17.0.12 und OpenJDK 21.0.4 Security Updates for Portable Linux Builds sowie OpenJDK 8u422, OpenJDK 11.0.24, OpenJDK 17.0.12 und OpenJDK 21.0.4 Security Updates for Windows Builds bereit, um die jeweils betreffenden Schwachstellen zu beheben. Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.2, 8.4, 8.6, 9.2 und 9.4 (x86_64), Red Hat Enterprise Linux Server - TUS 8.4, 8.6 und 8.8 (x86_64), Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64) sowie Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-17-openjdk' und 'java-1.8.0-openjdk' bereit, um die betreffenden Schwachstellen zu schließen.

Version 4 (2024-07-19 11:22)

Red Hat stellt das OpenJDK 8u422 Security Update for Portable Linux Builds bereit, um die jeweils betreffenden Schwachstellen zu beheben. Für Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 (x86_64) stehen Sicherheitsupdates für 'java-11-openjdk' und 'java-1.8.0-openjdk' bereit, um die jeweils betreffenden Schwachstellen zu beheben. Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.2, 8.4, 8.6, 9.2 und 9.4 (x86_64), Red Hat Enterprise Linux Server - TUS 8.4, 8.6 und 8.8 (x86_64), Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64) sowie Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-11-openjdk' bereit, um die betreffenden Schwachstellen zu schließen. Für Oracle Linux 8 und 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'java-11-openjdk', ' java-17-openjdk' und 'java-21-openjdk' zur Behebung der betreffenden Schwachstellen zur Verfügung.

Version 5 (2024-07-19 15:25)

Für Oracle Linux 8 und 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'java-1.8.0-openjdk' zur Behebung der betreffenden Schwachstellen zur Verfügung.

Version 6 (2024-07-23 10:21)

Für SUSE Linux Enterprise High Performance Computing 12 SP5, SUSE Linux Enterprise Server 12 SP5 und SUSE Linux Enterprise Server for SAP Applications 12 SP5 stehen Sicherheitsupdates für 'java-11-openjdk' und für Basesystem Module 15 SP6, openSUSE Leap 15.6, SUSE Linux Enterprise Desktop 15 SP6, SUSE Linux Enterprise Real Time 15 SP6, SUSE Linux Enterprise Server 15 SP6 und SUSE Linux Enterprise Server for SAP Applications 15 SP6 stehen Sicherheitsupdates für 'java-21-openjdk' bereit.

Version 7 (2024-07-30 14:32)

Für Basesystem Module 15 SP5, Legacy Module 15 SP6, openSUSE Leap 15.5 und 15.6 und SUSE Enterprise Storage 7.1, für die SUSE Linux Enterprise Produkte Desktop 15 SP4 LTSS, 15 SP5 und 15 SP6, High Performance Computing 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP4, 15 SP5, 15 SP4 ESPOS, 15 SP3 LTSS und 15 SP4 LTSS, Micro 5.5, Real Time 15 SP5 und 15 SP6, Server 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS, 15 SP5 und 15 SP6 und Server for SAP Applications 15 SP2, 15 SP3, 15 SP4, 15 SP5 und 15 SP6, für die SUSE Manager Produkte Proxy 4.3 und Retail Branch Server 4.3 und Server 4.3 sowie für SUSE Package Hub 15 SP5 und 15 SP6 stehen Sicherheitsupdates für 'java-11-openjdk' bereit, die 6 Schwachstellen adressieren. Für Basesystem Module 15 SP5 und 15 SP6, Legacy Module 15 SP6 und openSUSE Leap 15.4, 15.5 und 15.6, für die SUSE Linux Enterprise Produkte Desktop 15 SP4 LTSS, 15 SP5 und 15 SP6, High Performance Computing 15 SP4, 15 SP5 und 15 SP4 ESPOS / LTSS, Real Time 15 SP5 und 15 SP6, Server 15 SP4, 15 SP4 LTSS, 15 SP5 und 15 SP6 und Server for SAP Applications 15 SP4, 15 SP5 und 15 SP6 sowie für die SUSE Manager Produkte Proxy 4.3, Retail Branch Server 4.3 und Server 4.3 stehen Sicherheitsupdates für 'java-17-openjdk' bereit, die 5 Schwachstellen adressieren.

Version 8 (2024-07-31 11:57)

Für Ubuntu 24.04 LTS, Ubuntu 22.04 LTS und Ubuntu 20.04 LTS stehen Sicherheitsupdates für 'openjdk-lts' und 'openjdk-21' bereit, um die Schwachstellen zu beheben.

Version 9 (2024-07-31 15:47)

Für Ubuntu 24.04 LTS, Ubuntu 22.04 LTS und Ubuntu 20.04 LTS stehen Sicherheitsupdates für 'openjdk-8' und 'openjdk-17' bereit, um die Schwachstellen zu beheben.

Version 10 (2024-08-06 08:48)

Für Debian 11 Bullseye (oldstable) steht ein Sicherheitsupdate für 'openjdk-11' in Version 11.0.24+8-2~deb11u1 bereit, um die Schwachstellen zu beheben.

Version 11 (2024-08-07 09:07)

Für Debian 11 Bullseye (oldstable) steht Version 17.0.12+7-2~deb11u1 und für Debian 12 Bookworm (stable) steht Version 17.0.12+7-2~deb12u1 von 'openjdk-17' bereit, um die betreffenden Schwachstellen zu beheben.

Version 12 (2024-08-20 17:11)

Für Legacy Module 15 SP5 und 15 SP6, openSUSE Leap 15.5 und 15.6, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise High Performance Computing 12 SP5, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP4 ESPOS / LTSS, SUSE Linux Enterprise Server 12 SP5, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS, 15 SP5 und 15 SP6 sowie SUSE Linux Enterprise Server for SAP Applications 15 SP2, 15 SP3, 15 SP4, 15 SP5 und 15 SP6 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, um die Schwachstellen zu beheben.

Version 13 (2024-09-04 17:36)

Für openSUSE Leap 15.5 und 15.6, SUSE Linux Enterprise Desktop 15 SP5 und 15 SP6, SUSE Linux Enterprise High Performance Computing 15 SP5, SUSE Linux Enterprise Micro 5.5, SUSE Linux Enterprise Real Time 15 SP5 und 15 SP6, SUSE Linux Enterprise Server 15 SP5 und 15 SP6, SUSE Linux Enterprise Server for SAP Applications 15 SP5 und 15 SP6 sowie SUSE Package Hub 15 SP5 und 15 SP6 stehen Sicherheitsupdates für 'java-1_8_0-openj9' bereit, um die Schwachstellen zu beheben.

Version 14 (2024-09-10 09:27)

Für Oracle Linux 7 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'java-11-openjdk' zur Behebung der Schwachstellen zur Verfügung.

Version 15 (2024-09-18 09:13)

Für Oracle Linux 7 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'java-1.8.0-openjdk' zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

HP
Apple
Linux
Microsoft
Oracle
UNIX
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Oracle stellt im Rahmen des Patchtags im Juli 2024 die Sicherheitsupdates Java SE Development Kit 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4 und 22.0.2 zur Behebung der Schwachstellen zur Verfügung.

Darüber hinaus werden Sicherheitsupdates zur Behebung der Schwachstellen in OpenJDK veröffentlicht.

Schwachstellen:

CVE-2024-21131

Schwachstelle in Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von Dateien

CVE-2024-21138

Schwachstelle in Oracle JDK und Oracle Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2024-21140

Schwachstelle in Oracle JDK und Oracle Java SE Embedded ermöglicht u. a. Manipulation von Dateien

CVE-2024-21144

Schwachstelle in Oracle JDK und Oracle Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2024-21145

Schwachstelle in Oracle JDK und Oracle Java SE Embedded ermöglicht u. a. Manipulation von Dateien

CVE-2024-21147

Schwachstelle in Oracle JDK und Oracle Java SE Embedded ermöglicht u. a. Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.