2026-1584: Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen
Historie:
- Version 1 (2026-04-22 17:12)
- Neues Advisory
- Version 2 (2026-04-23 07:47)
- Für Red Hat OpenJDK Java Extended Life Cycle Support in Version 11 für RHEL 7 (x86_64), 8 und 9 (x86_64, aarch64) steht das Sicherheitsupdate OpenJDK 11.0.31 ELS Security Update for Windows Builds bereit, um acht Schwachstellen zu beheben. Und für Red Hat Enterprise Linux Server in Version Extended Life Cycle Support 7 (x86_64) steht ein Sicherheitsupdate für 'java-1.8.0-openjdk' bereit, um sieben Schwachstellen zu beheben.
- Version 3 (2026-04-24 09:30)
- Für Red Hat OpenJDK Java (for Middleware) in Version 1 (x86_64) steht das Sicherheitsupdate OpenJDK 17.0.19 Security Update for Windows Builds bereit, um sieben Schwachstellen zu beheben. Es wird eine weitere Schwachstelle aufgelistet, die wahrscheinlich Abhängigkeiten betrifft. Für Red Hat OpenJDK Java (for Middleware) in Version 1 (x86_64) steht das Sicherheitsupdate OpenJDK 25.0.3 Security Update for Portable Linux Builds bereit, um neun Schwachstellen zu beheben. Für Red Hat OpenJDK Java (for Middleware) in Version 1 (x86_64) stehen die Sicherheitsupdates OpenJDK 17.0.19 Security Update for Portable Linux Builds, OpenJDK 21.0.11 Security Update for Portable Linux Builds und OpenJDK 21.0.11 Security Update for Windows Builds bereit, um acht Schwachstellen zu beheben. Für Red Hat OpenJDK Java (for Middleware) in Version 1 (x86_64) stehen die Sicherheitsupdates OpenJDK 8u492 Security Update for Portable Linux Builds und OpenJDK 8u492 Windows Security Update bereit, um sieben Schwachstellen zu beheben.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
HP
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Oracle stellt im Rahmen des Patchtags im April 2026 die Sicherheitsupdates Java SE Development Kit 8u491, 8u491-PERF, 11.0.31, 17.0.19, 21.0.11, 25.0.3 und 26.0.1 zur Verfügung.
Für OpenJDK stehen korrespondierende Sicherheitsupdates in Version 8u491, 11.0.31, 17.0.19, 21.0.11, 25.0.3 und 26.0.1 bereit.
Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').
Schwachstellen:
CVE-2026-20652
Schwachstelle in WebKit ermöglicht Denial-of-Service-AngriffCVE-2026-22003
Schwachstelle in GraalVM, GraalVM for JDK, OpenJDK und Oracle Java SE ermöglicht u. a. Denial-of-Service-AngriffCVE-2026-22007 CVE-2026-34268
Schwachstellen in GraalVM, GraalVM for JDK, OpenJDK und Oracle Java SE ermöglichen Ausspähen von InformationenCVE-2026-22008
Schwachstelle in Oracle Java SE ermöglicht Manipulation von DatenCVE-2026-22013
Schwachstelle in GraalVM, GraalVM for JDK, OpenJDK und Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2026-22016
Schwachstelle in GraalVM, GraalVM for JDK, OpenJDK und Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2026-22018
Schwachstelle in GraalVM, GraalVM for JDK, OpenJDK und Oracle Java SE ermöglicht Denial-of-Service-AngriffCVE-2026-22021
Schwachstelle in GraalVM, GraalVM for JDK, OpenJDK und Oracle Java SE ermöglicht Denial-of-Service-AngriffCVE-2026-23865
Schwachstelle in FreeType ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-34282
Schwachstelle in GraalVM, GraalVM for JDK, OpenJDK und Oracle Java SE ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.