2026-0230: CRaC JDK, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2026-01-21 15:47): Neues Advisory
Version 2 (2026-01-22 07:37): Für Red Hat OpenJDK Java Extended Life Cycle Support in Version 11 für RHEL 7 (x86_64), 8 und 9 (x86_64, aarch64) steht das Sicherheitsupdate OpenJDK 11.0.30 ELS Security Update for Portable Linux Builds bereit, um fünf Schwachstellen zu beheben. Und für Red Hat OpenJDK Java Extended Life Cycle Support in Version 11 für RHEL 7 (x86_64), 8 und 9 (x86_64, aarch64) steht das Sicherheitsupdate OpenJDK 11.0.30 ELS Security Update for Windows Builds bereit, um sechs Schwachstellen zu beheben; CVE-2026-21932 wurde ergänzt.
Version 3 (2026-01-22 13:16): Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 in den Versionen 8 und 9 (x86_64, aarch64) und Extended Update Support 9.4 und 9.6 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 in den Versionen 8 und 9 (x86_64, aarch64), 4 years of updates 9.0, 9.2, 9.4 und 9.6 (aarch64), Extended Update Support 9.4 und 9.6 (x86_64, aarch64) und Extended Update Support Extension 8.4, 8.6 und 8.8 (x86_64) sowie Red Hat Enterprise Linux Server in den Versionen AUS 8.4, 8.6, 9.2, 9.4 und 9.6 (x86_64) und TUS 8.6 und 8.8 (x86_64) stehen Sicherheitsupdates für 'java-17-openjdk' bereit, um fünf Schwachstellen zu beheben.
Version 4 (2026-01-23 07:23): Für Oracle Linux in Version 8 und 9 (x86_64, aarch64) stehen zu RHSA-2026:0927 korrespondierende Sicherheitsupdates für 'java-17-openjdk' bereit, um fünf Schwachstellen zu beheben. Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 in den Versionen 8, 9 und 10 (x86_64, aarch64) und Extended Update Support 9.4, 9.6 und 10.0 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 in den Versionen 8, 9 und 10 (x86_64, aarch64), 4 years of updates 9.4 und 9.6 (aarch64), 10.0 (x86_64, aarch64) und Extended Update Support 9.4, 9.6 und 10.0 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server in Version AUS 9.4 und 9.6 (x86_64) stehen Sicherheitsupdates für 'java-21-openjdk' bereit, um fünf Schwachstellen zu beheben.
Version 5 (2026-01-26 07:12): Für Oracle Linux in Version 8, 9 und 10 (x86_64, aarch64) stehen zu RHSA-2026:0928 korrespondierende Sicherheitsupdates für 'java-21-openjdk' bereit, um die fünf Schwachstellen zu beheben. Und für Debian 12 Bookworm (oldstable) steht Version 17.0.18+8-1~deb12u1 von 'openjdk-17' bereit, um vier Schwachstellen zu beheben.
Version 6 (2026-01-27 07:33): Für Debian 11 Bullseye (LTS) stehen die Versionen 17.0.18+8-1~deb11u1 von 'openjdk-17' und 11.0.30+7-1~deb11u1 von 'openjdk-11' bereit, um jeweils vier Schwachstellen zu beheben. Für Red Hat Enterprise Linux Server in Version Extended Life Cycle Support 7 (x86_64) steht ein Sicherheitsupdate für 'java-1.8.0-openjdk' bereit, um drei Schwachstellen zu beheben. Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 in den Versionen 8 und 9 (x86_64, aarch64) und Extended Update Support 9.4 und 9.6 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 in den Versionen 8 und 9 (x86_64, aarch64), 4 years of updates 9.0, 9.2, 9.4 und 9.6 (aarch64), Extended Update Support 9.4 und 9.6 (x86_64, aarch64) und Extended Update Support Extension 8.4, 8.6 und 8.8 (x86_64) sowie Red Hat Enterprise Linux Server in den Versionen AUS 8.2, 8.4, 8.6, 9.2, 9.4 und 9.6 (x86_64) und TUS 8.6 und 8.8 (x86_64) stehen Sicherheitsupdates für 'java-1.8.0-openjdk' bereit, um fünf Schwachstellen zu beheben. Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 in Version 9 und 10 (x86_64, aarch64) sowie Red Hat Enterprise Linux for x86_64 / ARM 64 in Version 10 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-25-openjdk' bereit, um fünf Schwachstellen zu beheben. Für Red Hat OpenJDK Java (for Middleware) in Version 1 (x86_64) stehen die Sicherheitsupdates OpenJDK 8u482 Security Update for Portable Linux Builds, OpenJDK 17.0.18 Security Update for Portable Linux Builds, OpenJDK 21.0.10 Security Update for Portable Linux Builds und OpenJDK 25.0.2 Security Update for Portable Linux Builds bereit, um fünf Schwachstellen zu beheben. Und ebenfalls für Red Hat OpenJDK Java (for Middleware) in Version 1 (x86_64) stehen die Sicherheitsupdates OpenJDK 8u482 Windows Security Update, OpenJDK 17.0.18 Security Update for Windows Builds und OpenJDK 21.0.10 Security Update for Windows Builds bereit, um vier Schwachstellen zu beheben.
Version 7 (2026-01-29 09:25): Für Debian 13 Trixie (stable) steht ein Sicherheitsupdate für 'openjdk-21' in Version 21.0.10+7-1~deb13u1 zur Verfügung, um die für den Versionszweig relevanten Schwachstellen zu beheben. Für Oracle Linux in Version 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-1.8.0-openjdk' bereit. Für Fedora EPEL 8 steht das Paket 'java-latest-openjdk-portable-26.0.0.0.32-0.1.ea.rolling' im Status 'testing' bereit. Für Fedora EPEL 8, 9 und 10.2 steht das Paket 'java-latest-openjdk-26.0.0.0.32-0.0.1.ea' im Status 'testing' bereit. Für Fedora 42 und 43 stehen die Pakete 'java-21-openjdk-21.0.10.0.7-2', 'java-25-openjdk-25.0.2.0.10-2' und 'java-latest-openjdk-26.0.0.0.32-0.0.1.ea' im Status 'testing' bereit.
Version 8 (2026-01-30 14:53): Für die SUSE Linux Enterprise Produkte High Performance Computing 12 SP5, Server 12 SP5 und 12 SP5 LTSS / LTSS Extended Security und Server for SAP Applications 12 SP5 stehen Sicherheitsupdates für 'java-11-openjdk' bereit, um vier Schwachstellen zu beheben. Und für Basesystem Module 15 SP7 sowie für die SUSE Linux Enterprise Produkte Desktop 15 SP7, Real Time 15 SP7, Server 15 SP7 und Server for SAP Applications 15 SP7 stehen Sicherheitsupdates für 'java-25-openjdk' bereit, um vier Schwachstellen zu beheben.
Version 9 (2026-02-03 07:44): Für Ubuntu 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS und 25.10 stehen Sicherheitsupdates für 'openjdk-8' bereit, um vier Schwachstellen zu beheben. Für Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS und 25.10 stehen Sicherheitsupdates für 'openjdk-lts' bereit, um vier Schwachstellen zu beheben. Für Ubuntu 20.04 LTS, 22.04 LTS, 24.04 LTS und 25.10 stehen Sicherheitsupdates für 'openjdk-21' bereit, um vier Schwachstellen zu beheben. Für Ubuntu 25.10 steht ein Sicherheitsupdate für 'openjdk-21-crac' bereit, um vier Schwachstellen zu beheben. Und für Red Hat OpenJDK Java (for Middleware) in Version 1 (x86_64) steht das Sicherheitsupdate OpenJDK 25.0.2 Security Update for Windows Builds bereit, um vier Schwachstellen zu beheben.
Version 10 (2026-02-03 14:14): Für Ubuntu 22.04 LTS, 24.04 LTS und 25.10 stehen Sicherheitsupdates für 'openjdk-25' bereit, um vier Schwachstellen zu beheben, und für Ubuntu 25.10 steht zusätzlich ein Sicherheitsupdate für 'openjdk-25-crac' bereit, um vier Schwachstellen zu beheben.
Version 11 (2026-02-03 14:24): Für Ubuntu 25.10 steht ein Sicherheitsupdate für 'openjdk-17-crac' bereit, um vier Schwachstellen zu beheben. Für Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS und 25.10 stehen Sicherheitsupdates für 'openjdk-17' bereit, um vier Schwachstellen zu beheben.
Version 12 (2026-02-03 17:07): Für openSUSE Leap 16.0 stehen Sicherheitsupdates für 'java-17-openjdk', 'java-21-openjdk' und 'java-25-openjdk' bereit, um vier Schwachstellen zu beheben.
Version 13 (2026-02-04 11:30): Für die SUSE Linux Enterprise Produkte Server 16.0 und Server for SAP Applications 16.0 stehen Sicherheitsupdates für 'java-17-openjdk' bereit, um vier Schwachstellen zu beheben. Und für Basesystem Module 15 SP7 und openSUSE Leap 15.6 sowie für die SUSE Linux Enterprise Produkte Desktop 15 SP7, Real Time 15 SP7, Server 15 SP6, 15 SP6 LTSS, 15 SP7 und 16.0 und Server for SAP Applications 15 SP6, 15 SP7 und 16.0 stehen Sicherheitsupdates für 'java-21-openjdk' bereit, um vier Schwachstellen zu beheben.
Version 14 (2026-02-06 10:27): Für die SUSE Linux Enterprise Produkte Server 16.0 und Server for SAP Applications 16.0 stehen Sicherheitsupdates für 'java-25-openjdk' bereit, um vier Schwachstellen zu beheben.
Version 15 (2026-02-09 07:49): Für Debian 13 Trixie (stable) steht Version 25.0.2+10-1~deb13u2 von 'openjdk-25' bereit, um vier Schwachstellen zu beheben.
Version 16 (2026-02-10 14:37): Für Oracle Linux in Version 7 (x86_64) steht ein zu RHSA-2026:0931 korrespondierendes Sicherheitsupdate für 'java-1.8.0-openjdk' bereit, um drei Schwachstellen zu beheben.
Version 17 (2026-02-12 09:55): Für die SUSE Linux Enterprise Produkte High Performance Computing 12 SP5, Server 12 SP5 und 12 SP5 LTSS / LTSS Extended Security und Server for SAP Applications 12 SP5 stehen Sicherheitsupdates für 'java-1_8_0-openjdk' bereit, um vier Schwachstellen zu beheben.
Version 18 (2026-02-20 08:19): Für Oracle Linux in Version 7 (x86_64) steht ein zu RHSA-2026:0847 korrespondierendes Sicherheitsupdate für 'java-11-openjdk' bereit, um fünf Schwachstellen zu beheben.

Betroffene Software

Datensicherung
Entwicklung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen sowie möglicherweise beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Für Red Hat OpenJDK Java Extended Life Cycle Support in Version 11 für RHEL 7 (x86_64), 8 und 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'java-11-openjdk ELS' bereit, um fünf Schwachstellen zu beheben.

Schwachstellen:

CVE-2025-64720

Schwachstelle in libpng ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-65018

Schwachstelle in libpng ermöglicht u. a. Denial-of-Service-Angriff

CVE-2026-21925

Schwachstelle in GraalVM, GraalVM for JDK und Oracle Java SE ermöglicht u. a. Manipulation von Daten

CVE-2026-21932

Schwachstelle in GraalVM, GraalVM for JDK und Oracle Java SE ermöglicht Manipulation von Daten

CVE-2026-21933