2025-0982: Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-04-16 15:58)

Neues Advisory

Version 2 (2025-04-16 17:40)

Für OpenJDK Java Extended Life Cycle Support for Red Hat Enterprise Linux 11 für RHEL 7 (x86_64), RHEL 8 (x86_64, aarch64) und RHEL 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-11-openjdk ELS' für Portable Linux Builds und für Windows Builds bereit, um die betreffenden Schwachstellen zu beheben. Und für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.4, 8.6, 9.2 und 9.4 (x86_64), Red Hat Enterprise Linux Server - TUS 8.4, 8.6 und 8.8 (x86_64) sowie Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64) stehen Sicherheitsupdates für 'java-17-openjdk' auf die Version OpenJDK 17.0.15 bereit, um die betreffenden Schwachstellen zu beheben.

Version 3 (2025-04-16 18:21)

Für OpenJDK Java Extended Life Cycle Support for Red Hat Enterprise Linux 11 für RHEL 7 (x86_64), RHEL 8 (x86_64, aarch64) und RHEL 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-11-openjdk ELS' mit Extended Lifecycle Support bereit, um die betreffenden Schwachstellen zu beheben. Und für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64) sowie Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.4 (aarch64) stehen Sicherheitsupdates für 'java-21-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 4 (2025-04-17 13:13)

Für OpenJDK Java (for Middleware) 1 (x86_64) stehen Sicherheitsupdates für Windows Builds und Portable Linux Builds von OpenJDK in den Versionen 21.0.7, 17.0.15 und 8u452 bereit. Weiterhin stehen Sicherheitsupdates für Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 (x86_64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64), Red Hat Enterprise Linux Server - AUS 8.2, 8.4, 8.6, 9.2 und 9.4 (x86_64), Red Hat Enterprise Linux Server - TUS 8.4, 8.6 und 8.8 (x86_64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64, aarch64) sowie Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64) für 'java-1.8.0-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 5 (2025-04-22 10:30)

Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'java-1.8.0-openjdk', 'java-17-openjdk' und 'java-21-openjdk' bereit, um die betreffenden Schwachstellen zu beheben.

Version 6 (2025-04-22 13:18)

Für verschiedene Fedora-Distributionen stehen die Pakete 'java-1.8.0-openjdk-1.8.0.452.b06-1.fc40', 'java-1.8.0-openjdk-1.8.0.452.b06-1.fc41', 'java-1.8.0-openjdk-portable-1.8.0.452.b06-2.fc39', 'java-17-openjdk-17.0.15.0.6-1.fc40', 'java-17-openjdk-17.0.15.0.6-1.fc41', 'java-17-openjdk-portable-17.0.15.0.6-1.fc40', 'java-latest-openjdk-24.0.1.0.9-1.rolling.el10_0', 'java-latest-openjdk-portable-24.0.1.0.9-1.rolling.el8', 'java-latest-openjdk-24.0.1.0.9-1.rolling.el8', 'java-latest-openjdk-24.0.1.0.9-1.rolling.el9', 'java-latest-openjdk-24.0.1.0.9-1.rolling.fc40', 'java-latest-openjdk-24.0.1.0.9-1.rolling.fc41' und 'java-latest-openjdk-24.0.1.0.9-1.rolling.fc42'als Sicherheitsupdates zur Behebung der jeweils relevanten Schwachstellen im Status 'testing' zur Verfügung.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien und Daten zu manipulieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um Daten zu manipulieren.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle stellt im Rahmen des Patchtags im April 2025 die Sicherheitsupdates Java SE Development Kit 8u451, 8u451-PERF, 11.0.27, 17.0.15, 21.0.7 und 24.0.1 zur Verfügung. Mit diesen wird abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 21.0.7+8, 17.0.15+9, 11.0.27+8, 1.8.0_451-b10 oder 1.8.0_451-perf-b09 umgesetzt.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2024-47606

Schwachstelle in GStreamer ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-54534

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2025-21587

Schwachstelle in Oracle Java SE, GraalVM und GraalVM for JDK ermöglicht u. a. Manipulation von Daten

CVE-2025-23083

Schwachstelle in Node.js ermöglicht u. a. Manipulation von Dateien

CVE-2025-30691

Schwachstelle in Oracle Java SE und GraalVM for JDK ermöglicht u. a. Manipulation von Daten

CVE-2025-30698

Schwachstelle in Oracle Java SE, GraalVM und GraalVM for JDK ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.