2025-0982: Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-04-16 15:58)

Neues Advisory

Version 2 (2025-04-16 17:40)

Für OpenJDK Java Extended Life Cycle Support for Red Hat Enterprise Linux 11 für RHEL 7 (x86_64), RHEL 8 (x86_64, aarch64) und RHEL 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-11-openjdk ELS' für Portable Linux Builds und für Windows Builds bereit, um die betreffenden Schwachstellen zu beheben. Und für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.4, 8.6, 9.2 und 9.4 (x86_64), Red Hat Enterprise Linux Server - TUS 8.4, 8.6 und 8.8 (x86_64) sowie Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64) stehen Sicherheitsupdates für 'java-17-openjdk' auf die Version OpenJDK 17.0.15 bereit, um die betreffenden Schwachstellen zu beheben.

Version 3 (2025-04-16 18:21)

Für OpenJDK Java Extended Life Cycle Support for Red Hat Enterprise Linux 11 für RHEL 7 (x86_64), RHEL 8 (x86_64, aarch64) und RHEL 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-11-openjdk ELS' mit Extended Lifecycle Support bereit, um die betreffenden Schwachstellen zu beheben. Und für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64) sowie Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.4 (aarch64) stehen Sicherheitsupdates für 'java-21-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 4 (2025-04-17 13:13)

Für OpenJDK Java (for Middleware) 1 (x86_64) stehen Sicherheitsupdates für Windows Builds und Portable Linux Builds von OpenJDK in den Versionen 21.0.7, 17.0.15 und 8u452 bereit. Weiterhin stehen Sicherheitsupdates für Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 (x86_64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64), Red Hat Enterprise Linux Server - AUS 8.2, 8.4, 8.6, 9.2 und 9.4 (x86_64), Red Hat Enterprise Linux Server - TUS 8.4, 8.6 und 8.8 (x86_64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64) sowie Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64) für 'java-1.8.0-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 5 (2025-04-22 10:30)

Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'java-1.8.0-openjdk', 'java-17-openjdk' und 'java-21-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 6 (2025-04-22 13:18)

Für verschiedene Fedora-Distributionen stehen die Pakete 'java-1.8.0-openjdk-1.8.0.452.b06-1.fc40', 'java-1.8.0-openjdk-1.8.0.452.b06-1.fc41', 'java-1.8.0-openjdk-portable-1.8.0.452.b06-2.fc39', 'java-17-openjdk-17.0.15.0.6-1.fc40', 'java-17-openjdk-17.0.15.0.6-1.fc41', 'java-17-openjdk-portable-17.0.15.0.6-1.fc40', 'java-latest-openjdk-24.0.1.0.9-1.rolling.el10_0', 'java-latest-openjdk-portable-24.0.1.0.9-1.rolling.el8', 'java-latest-openjdk-24.0.1.0.9-1.rolling.el8', 'java-latest-openjdk-24.0.1.0.9-1.rolling.el9', 'java-latest-openjdk-24.0.1.0.9-1.rolling.fc40', 'java-latest-openjdk-24.0.1.0.9-1.rolling.fc41' und 'java-latest-openjdk-24.0.1.0.9-1.rolling.fc42'als Sicherheitsupdates zur Behebung der jeweils relevanten Schwachstellen im Status 'testing' zur Verfügung.

Version 7 (2025-04-30 10:20)

Für die SUSE Linux Enterprise Produkte High Performance Computing 12 SP5, Server 12 SP5 und 12 SP5 LTSS / LTSS Extended Security und Server for SAP Applications 12 SP5 stehen Sicherheitsupdates für 'java-11-openjdk' bereit, um drei Schwachstellen zu beheben.

Version 8 (2025-05-02 12:25)

Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'openjdk-17' in Version 17.0.15+6-1~deb12u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 9 (2025-05-02 18:16)

SUSE stellt für Basesystem Module 15 SP6, openSUSE Leap 15.6, SUSE Linux Enterprise Desktop 15 SP6, Real Time 15 SP6, Server 15 SP6 und Server for SAP Applications 15 SP6 Sicherheitsupdates für 'java-21-openjdk' zur Verfügung. Die Software wird darüber auf die Version 21.0.7 aktualisiert und die für den Versionszweig relevanten Schwachstellen CVE-2025-21587, CVE-2025-30691 und CVE-2025-30698 werden behoben.

Version 10 (2025-05-06 09:55)

Für Ubuntu 25.04, Ubuntu 24.10, Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 ESM, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM stehen Sicherheitsupdates für 'openjdk-8', 'openjdk-lts', 'openjdk-17', 'openjdk-21' und 'openjdk-24' bereit, um die betreffenden Schwachstellen in OpenJDK 8, 11, 17, 21 bzw. 24 zu beheben.

Version 11 (2025-05-08 11:19)

Für Basesystem Module 15 SP6, Legacy Module 15 SP6, openSUSE Leap 15.4 und 15.6, die SUSE Linux Enterprise Produkte Desktop 15 SP6, High Performance Computing 15 SP4, 15 SP5, ESPOS 15 SP4, ESPOS 15 SP5, LTSS 15 SP4 und LTSS 15 SP5, Real Time 15 SP6, Server 15 SP4, 15 SP4 LTSS, 15 SP5, 15 SP5 LTSS und 15 SP6, Server for SAP Applications 15 SP4, 15 SP5 und 15 SP6 sowie SUSE Manager Proxy 4.3, Retail Branch Server 4.3 und Server 4.3 stehen Sicherheitsupdates für 'java-17-openjdk' auf die Version 17.0.25 zur Verfügung. Für die genannten SUSE Produkte mit Ausnahme von Basesystem Module 15 SP6 und openSUSE Leap 15.4 und zusätzlich für die SUSE Linux Enterprise Produkte High Performance Computing 15 SP3 und LTSS 15 SP3, Server 15 SP3 und 15 SP3 LTSS sowie Server for SAP Applications 15 SP3 und SUSE Package Hub 15 SP6 stehen außerdem Sicherheitsupdates für 'java-11-openjdk' auf die Version 11.0.27 bereit.

Version 12 (2025-05-12 11:57)

Für Legacy Module 15 SP6, openSUSE Leap 15.6 und SUSE Enterprise Storage 7.1 sowie für die SUSE Linux Enterprise Produkte High Performance Computing 12 SP5, 15 SP3, 15 SP4, 15 SP4 ESPOS, 15 SP3 LTSS und 15 SP4 LTSS, Server 12 SP5, 12 SP5 LTSS / LTSS Extended Security, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS, 15 SP5, 15 SP5 LTSS und 15 SP6 und Server for SAP Applications 12 SP5, 15 SP3, 15 SP4, 15 SP5 und 15 SP6 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, um drei Schwachstellen zu beheben.

Version 13 (2025-05-13 10:40)

Für Oracle Linux 7 (x86_64) stehen zu RHSA-2025:3844 korrespondierende Sicherheitsupdates für 'java-1.8.0-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 14 (2025-05-15 11:26)

Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 in den Versionen 10 (x86_64, aarch64) und Extended Update Support 10.0 (x86_64, aarch64) sowie Red Hat Enterprise Linux for x86_64 / ARM 64 in den Versionen 10 (x86_64, aarch64), 4 years of updates 10.0 (x86_64, aarch64) und Extended Update Support 10.0 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-21-openjdk' bereit, um die Schwachstelle zu beheben.

Version 15 (2025-05-20 13:24)

Für Debian 11 Bullseye (LTS) stehen Sicherheitsupdates für 'openjdk-17' in Version 17.0.15+6-1~deb11u1 und für 'openjdk-11' in Version 11.0.27+6-1~deb11u1 bereit, um drei Schwachstellen zu beheben.

Version 16 (2025-06-02 14:49)

Für Legacy Module 15 SP7, SUSE Linux Enterprise Desktop 15 SP7, SUSE Linux Enterprise Real Time 15 SP7, SUSE Linux Enterprise Server 15 SP7, SUSE Linux Enterprise Server for SAP Applications 15 SP7 und SUSE Package Hub 15 SP7 stehen Sicherheitsupdates für 'java-11-openjdk' bereit, um die drei Schwachstellen zu beheben.

Version 17 (2025-06-05 08:34)

Für Legacy Module 15 SP7 sowie für die SUSE Linux Enterprise Produkte Server 15 SP7 und Server for SAP Applications 15 SP7 stehen Sicherheitsupdates für 'java-17-openjdk' bereit, um drei Schwachstellen zu beheben.

Version 18 (2025-06-05 13:53)

Für Legacy Module 15 SP7 sowie für die SUSE Linux Enterprise Produkte Server 15 SP7 und Server for SAP Applications 15 SP7 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, um drei Schwachstellen zu beheben.

Version 19 (2025-06-17 08:08)

Für Legacy Module 15 SP6 und 15 SP7, openSUSE Leap 15.6 und SUSE Enterprise Storage 7.1, für die SUSE Linux Enterprise Produkte Desktop 15 SP6 und 15 SP7, High Performance Computing 15 SP3, 15 SP4, 15 SP5, 15 SP4 ESPOS, 15 SP5 ESPOS, 15 SP3 LTSS, 15 SP4 LTSS und 15 SP5 LTSS, Real Time 15 SP6 und 15 SP7, Server 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS, 15 SP5, 15 SP5 LTSS, 15 SP6 und 15 SP7 und Server for SAP Applications 15 SP3, 15 SP4, 15 SP5, 15 SP6 und 15 SP7, für die SUSE Manager Produkte Proxy 4.3, Retail Branch Server 4.3 und Server 4.3 sowie für SUSE Package Hub 15 SP6 und 15 SP7 stehen Sicherheitsupdates für 'java-11-openjdk' bereit, um die betreffenden drei Schwachstellen zu beheben.

Version 20 (2025-06-30 09:07)

Für Oracle Linux 10 (x86_64, aarch64) stehen zu RHSA-2025:7508 korrespondierende Sicherheitsupdates für 'java-21-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien und Daten zu manipulieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um Daten zu manipulieren.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle stellt im Rahmen des Patchtags im April 2025 die Sicherheitsupdates Java SE Development Kit 8u451, 8u451-PERF, 11.0.27, 17.0.15, 21.0.7 und 24.0.1 zur Verfügung. Mit diesen wird abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 21.0.7+8, 17.0.15+9, 11.0.27+8, 1.8.0_451-b10 oder 1.8.0_451-perf-b09 umgesetzt.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2024-47606

Schwachstelle in GStreamer ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-54534

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2025-21587

Schwachstelle in Oracle Java SE, GraalVM und GraalVM for JDK ermöglicht u. a. Manipulation von Daten

CVE-2025-23083

Schwachstelle in Node.js ermöglicht u. a. Manipulation von Dateien

CVE-2025-30691

Schwachstelle in Oracle Java SE und GraalVM for JDK ermöglicht u. a. Manipulation von Daten

CVE-2025-30698

Schwachstelle in Oracle Java SE, GraalVM und GraalVM for JDK ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.