Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 8 (10.08.2017):
Für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) stehen Sicherheitsupdates
für ‘java-1.7.0-openjdk’ bereit, mit denen 18 der referenzierten
Schwachstellen behoben werden.
Version 7 (08.08.2017):
UPDATE
Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten
Server, Desktop, Workstation und Linux for Scientific Computing sowie für
Server for ARM 7, Compute Node 7.4 EUS und die Server 7.4 Produktversionen
Extended Update Support (EUS), Advanced Update Support (AUS) und Telco
Update Support (TUS) Sicherheitsupdates für OpenJDK 7 auf Version 7u151
zur Verfügung.
Version 6 (02.08.2017):
Für Fedora 25 und 26 stehen die Pakete
‘java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721.fc25’ und
‘java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721.fc26’ als Sicherheitsupdate
im Status ‘testing’ bereit. Dies sind Sicherheitsupdates für das OpenJDK
Runtime Environment als Preview-Release für das OpenJDK
AArch32-Portierungsprojekt.
Version 5 (01.08.2017):
Canonical stellt für die Distributionen Ubuntu 17.04 und Ubuntu 16.04 LTS
erneut ein Sicherheitsupdate für OpenJDK 8 bereit. Darin wird eine mit dem
zuvor veröffentlichten Sicherheitsupdate eingeführte Regression behoben,
die verursacht hat, dass die Validierung gültiger JAR-Dateien fehlschlägt.
Version 4 (27.07.2017):
Für Fedora 24 steht das Paket
‘java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721.fc24’ als Sicherheitsupdate
im Status ‘testing’ bereit. Dies ist ein Sicherheitsupdate für das OpenJDK
Runtime Environment als Preview-Release für das OpenJDK
AArch32-Portierungsprojekt. Zudem stellen Debian, für die Distribution
Stretch (stable), und Canonical, für die Distributionen Ubuntu 17.04 und
Ubuntu 16.04 LTS, Sicherheitsupdates für OpenJDK 8 bereit.
Version 3 (24.07.2017):
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates für Oracle Java SE 8
(OpenJDK 1.8.0) auf Version 8u141 in Form der Pakete
‘java-1.8.0-openjdk-1.8.0.141-1.b16.fc24’,
‘java-1.8.0-openjdk-1.8.0.141-1.b16.fc25’ und
‘java-1.8.0-openjdk-1.8.0.141-1.b16.fc26’ im Status ‘testing’ bereit.
Version 2 (21.07.2017):
Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, HPC
Node, Server und Workstation, für Red Hat Enterprise Linux Server TUS v.
7.3 sowie für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64)
stehen Sicherheitsupdates für OpenJDK 1.8.0 bereit. Für die Oracle Java
for Red Hat Enterprise Linux Produkte Desktop, HPC Node, Server und
Workstation in Version 6 und 7 stehen Sicherheitsupdates für Oracle Java
SE 6 auf Version 6u161, Oracle Java SE 7 auf Version 7u151 und Oracle Java
SE 8 auf Version 8u141 bereit. Die Sicherheitsupdates adressieren jeweils
unterschiedliche Teilmengen der aufgeführten Schwachstellen.
Version 1 (19.07.2017):
Neues Advisory
Betroffene Software:
Java Advanced Management Console < 2.7 Oracle Java SE < 6u161 Oracle Java SE < 7u151 Oracle Java SE < 8u141 Oracle Java SE Embedded < 8u141 Oracle JRockit R28.3.14 OpenJDK 1.8.0 Betroffene Plattformen: Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Debian Linux 9.1 Stretch GNU/Linux HP-UX Microsoft Windows Oracle Linux 6 Oracle Linux 7 Oracle Solaris Red Hat Enterprise Linux for Scientific Computing 6 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE 6u141, 7u131 und 8u131, Java SE Embedded 8u131 sowie JRockit R28.3.14 und der Java Advanced Management Console 2.6 ermöglichen einem entfernten, auch nicht authentisierten Angreifer die komplette Kompromittierung der betroffenen Software und dadurch die Einflussnahme auf weitere Produkte und möglicherweise das gesamte System, die Manipulation von Dateien, das Ausspähen von Informationen und verschiedene Denial-of-Service-Angriffe. Eine Schwachstelle ermöglicht auch einem lokalen, nicht authentisierten Angreifer mit physischem Zugriff auf das System die Kompromittierung der Software, falls Java Auto Update aktiviert ist. Die Schwachstellen betreffen meist Client-, aber auch Server-Installationen. Für die erfolgreiche Ausnutzung der Schwachstellen ist teilweise eine nicht näher spezifizierte Interaktion einer anderen Person als der des Angreifers erforderlich. Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es steht eine aktuelle Version von Java SE 8 und Java SE Embedded 8 (Version 8u141) zum Download zur Verfügung. Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Die Java Advanced Management Console wird auf Version 2.7 aktualisiert, um die jeweiligen Schwachstellen zu beheben. Patch: Download von Java Updates http://www.oracle.com/technetwork/java/javase/downloads/index.html
Patch:
Oracle Critical Patch Update Advisory – Juli 2017 – Oracle Java SE
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html#AppendixJAVA
Patch:
Oracle Linux Security Advisory ELSA-2017-1789
https://linux.oracle.com/errata/ELSA-2017-1789.html
Patch:
Red Hat Security Advisory RHSA-2017:1789 (OpenJDK)
http://rhn.redhat.com/errata/RHSA-2017-1789.html
Patch:
Red Hat Security Advisory RHSA-2017:1790 (Java SE 8)
http://rhn.redhat.com/errata/RHSA-2017-1790.html
Patch:
Red Hat Security Advisory RHSA-2017:1791 (Java SE 7)
http://rhn.redhat.com/errata/RHSA-2017-1791.html
Patch:
Red Hat Security Advisory RHSA-2017:1792 (Java SE 6)
http://rhn.redhat.com/errata/RHSA-2017-1792.html
Patch:
Fedora Security Update FEDORA-2017-605557de96 (Fedora 24,
java-1.8.0-openjdk-1.8.0.141-1.b16.fc24)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-605557de96
Patch:
Fedora Security Update FEDORA-2017-735e2ae663 (Fedora 25,
java-1.8.0-openjdk-1.8.0.141-1.b16.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-735e2ae663
Patch:
Fedora Security Update FEDORA-2017-fe57cf60c3 (Fedora 26,
java-1.8.0-openjdk-1.8.0.141-1.b16.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-fe57cf60c3
Patch:
Fedora Security Update FEDORA-2017-873ab0f17d (Fedora 24,
java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-873ab0f17d
Patch:
Debian Security Advisory DSA-3919-1
https://www.debian.org/security/2017/dsa-3919
Patch:
Ubuntu Security Notice USN-3366-1
http://www.ubuntu.com/usn/usn-3366-1/
Patch:
Fedora Security Update FEDORA-2017-721314e3b3 (Fedora 26,
java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-721314e3b3
Patch:
Fedora Security Update FEDORA-2017-be3df4fe14 (Fedora 25,
java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-be3df4fe14
Patch:
Ubuntu Security Notice USN-3366-2
http://www.ubuntu.com/usn/usn-3366-2/
Patch:
Red Hat Security Advisory RHSA-2017:2424
http://rhn.redhat.com/errata/RHSA-2017-2424.html
Patch:
Oracle Linux Security Update ELSA-2017-2424
https://linux.oracle.com/errata/ELSA-2017-2424.html
CVE-2017-10243: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht u.a. Denial-of-Service-Angriff
Eine leicht auszunutzende Schwachstelle in der Subkomponente ‘JAX-WS’ von
Java SE, Java SE Embedded und JRockit ermöglicht einem entfernten, nicht
authentisierten Angreifer den Lesezugriff auf einige der Software
zugänglichen Daten und die Erzeugung eines partiellen
Denial-of-Service-Zustands. Die Schwachstelle betrifft Java-Anwendungen, die
in der Sandbox ausgeführt werden und solche, die über die
Programmschnittstelle der betroffenen Subkomponente Security angesprochen
werden können.
CVE-2017-10198: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in Java SE, Java SE Embedded und
JRockit ermöglicht einem entfernten, nicht authentisierten Angreifer den
Zugriff auf sämtliche der Software zugänglichen Daten sowie weitere,
möglicherweise kritische Daten. Die Schwachstelle betrifft Java-Anwendungen,
die in der Sandbox ausgeführt werden und solche, die über die
Programmschnittstelle der betroffenen Subkomponente Security angesprochen
werden können. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht dem
Angreifer, Einfluss auf weitere Produkte zu nehmen.
CVE-2017-10193: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in der Subkomponente Security von
Java SE und Java SE Embedded ermöglicht einem entfernten, nicht
authentisierten Angreifer das Ausspähen einiger der betroffenen Software
zugänglichen Informationen über verschiedene Netzwerkprotokolle. Ein
erfolgreicher Angriff erfordert die Interaktion eines Benutzers der
Software. Die Schwachstelle betrifft beispielsweise Client-Installationen
von Java, die sich im Sicherheitskontext auf die Java Sandbox verlassen.
Server-Installationen, die nur vertrauenswürdigen Programmcode ausführen,
sind nicht betroffen.
CVE-2017-10145: Schwachstelle in Java Advanced Management Console ermöglicht
Kompromittierung der Software
Eine leicht auszunutzende Schwachstelle in der Java Advanced Management
Console ermöglicht einem entfernten, einfach authentisierten Angreifer die
Kompromittierung der Software. Der Angreifer kann durch eine erfolgreiche
Ausnutzung der Schwachstelle eine Untermenge der von der Java Advanced
Management Console erreichbaren Daten manipulieren und dadurch auch Einfluss
auf andere Produkte nehmen. Eine unmittelbare Folge eines erfolgreichen
Angriffs ist ein partieller Denial-of-Service-Zustand.
CVE-2017-10135: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in der Subkomponente JCE von Java
SE, Java SE Embedded und JRockit ermöglicht einem entfernten, nicht
authentisierten Angreifer über verschiedene Netzwerkprotokolle das Ausspähen
sämtlicher von der betroffenen Software erreichbaren Daten oder weiterer
kritischer Daten. Die Schwachstelle betrifft Java-Installationen, die zur
Ausführung der Programme auf die Sandbox zurückgreifen und solche, die über
die Programmschnittstelle der Subkomponente angesprochen werden können.
CVE-2017-10125: Schwachstelle in Java SE ermöglicht komplette
Kompromittierung der Software
Durch eine schwer auszunutzende Schwachstelle in der Subkomponente
Deployment von Java SE ist es einem lokalen, nicht authentisierten Angreifer
mit physischem Zugang zu einem betroffenen System möglich, Java SE komplett
zu kompromittieren und dadurch Einfluss auf weitere Produkte zu nehmen. Die
Schwachstelle betrifft Installationen von Java SE, in denen Java Auto Update
aktiviert ist.
CVE-2017-10121: Schwachstelle in Java Advanced Management Console ermöglicht
Kompromittierung der Software
Eine leicht auszunutzende Schwachstelle in der Java Advanced Management
Console ermöglicht einem entfernten, nicht authentisierten Angreifer die
Kompromittierung der Software. Zur erfolgreichen Ausnutzung der
Schwachstelle ist die Interaktion eines vom Angreifer verschiedenen
Benutzers erforderlich. Der Angreifer kann dann eine Untermenge der von der
Java Advanced Management Console erreichbaren Daten manipulieren und dadurch
auch Einfluss auf andere Produkte nehmen.
CVE-2017-10117: Schwachstelle in Java Advanced Management Console ermöglicht
Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Java Advanced Management
Console ermöglicht einem entfernten, nicht authentisierten Angreifer die
Kompromittierung der Software über HTTP-Anfragen, wodurch er Lesezugriff auf
eine Untermenge der von der Software erreichbaren Daten erhält.
CVE-2017-10116: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht komplette Kompromittierung der Software
Es existiert eine schwer auszunutzende Schwachstelle in der Subkomponente
Security von Java SE, Java SE Embedded und JRockit, die einem entfernten,
nicht authentisierten Angreifer über verschiedene Netzwerkprotokolle die
komplette Kompromittierung der betroffenen Software und darüber hinaus
Einfluss auf weitere Produkte ermöglicht. Die Schwachstelle betrifft
Java-Installationen, die zur Ausführung der Programme auf die Sandbox
zurückgreifen und solche, die über die Programmschnittstelle der
Subkomponente angesprochen werden können. Zur erfolgreichen Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers erforderlich.
CVE-2017-10115 CVE-2017-10118 CVE-2017-10176: Schwachstellen in Java SE,
Java SE Embedded und JRockit ermöglichen Ausspähen von Informationen
Mehrere leicht auszunutzende Schwachstellen in den Subkomponenten JCE und
Security von Java SE, Java SE Embedded und JRockit ermöglichen einem
entfernten, nicht authentisierten Angreifer über verschiedene
Netzwerkprotokolle das Ausspähen sämtlicher von der betroffenen Software
erreichbaren Daten oder weiterer kritischer Daten. Die Schwachstellen
betreffen Java-Installationen, die zur Ausführung von Java-Programmen auf
die Sandbox zurückgreifen sowie solche, die über die Programmschnittstelle
der Subkomponente angesprochen werden können.
CVE-2017-10114: Schwachstelle in Java SE ermöglicht komplette
Kompromittierung der Software
In der Subkomponente JavaFX von Java SE besteht eine schwer auszunutzende
Schwachstelle, durch die ein entfernter, nicht authentisierter Angreifer
Java SE über verschiedene Netzwerkprotokolle komplett kompromittieren kann.
Die erfolgreiche Ausnutzung der Schwachstelle erfordert die Interaktion
eines Benutzers der Software und ermöglicht dem Angreifer auch, Einfluss auf
andere Produkte zu nehmen. Die Schwachstelle betrifft typischerweise
Client-Installationen von Java, die sich im Sicherheitskontext auf die Java
Sandbox verlassen. Server-Installationen, die nur vertrauenswürdigen
Programmcode ausführen, sind nicht betroffen.
CVE-2017-10105: Schwachstelle in Java SE ermöglicht Manipulation von Daten
Durch eine leicht auszunutzende Schwachstelle in der Subkomponente
Deployment von Java SE kann ein entfernter, nicht authentisierter Angreifer
einige der Java SE zugänglichen Daten manipulieren. Die Schwachstelle
betrifft Java-Installationen, die auf die Java Sandbox zurückgreifen, um
nicht vertrauenswürdigen Programmcode auszuführen. Eine erfolgreiche
Ausnutzung der Schwachstelle erfordert die Interaktion eines vom Angreifer
verschiedenen Benutzers.
CVE-2017-10104: Schwachstelle in Java Advanced Management Console ermöglicht
Kompromittierung der Software
Eine leicht auszunutzende Schwachstelle in der Subkomponente Server der Java
Advanced Management Console ermöglicht einem entfernten, einfach
authentisierten Angreifer die Kompromittierung der Software über
HTTP-Anfragen. Andere Produkte sind von der erfolgreichen Ausnutzung der
Schwachstelle ebenfalls betroffen.
CVE-2017-10102: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung der Software
In der Subkomponente RMI von Java SE und Java SE Embedded besteht eine
schwer auszunutzende Schwachstelle, durch die ein entfernter, nicht
authentisierter Angreifer die betroffene Software über verschiedene
Netzwerkprotokolle komplett kompromittieren kann. Die Schwachstelle kann
ausschließlich über Anfragen an die Programmschnittstelle von RMI ausgenutzt
werden.
CVE-2017-10087 CVE-2017-10090 CVE-2017-10096 CVE-2017-10101 CVE-2017-10107
CVE-2017-10111: Schwachstellen in Java SE und Java SE Embedded ermöglichen
komplette Kompromittierung der Software
In den Subkomponenten Libraries, JAXP und RMI von Java SE und Java SE
Embedded bestehen mehrere leicht auszunutzende Schwachstellen, durch die ein
entfernter, nicht authentisierter Angreifer die betroffene Software über
verschiedene Netzwerkprotokolle komplett kompromittieren kann. Die
erfolgreiche Ausnutzung der Schwachstellen erfordert die Interaktion eines
Benutzers der Software und ermöglicht dem Angreifer auch, Einfluss auf
andere Produkte zu nehmen. Die Schwachstellen betreffen typischerweise
Client-Installationen von Java, die sich im Sicherheitskontext auf die Java
Sandbox verlassen. Server-Installationen, die nur vertrauenswürdigen
Programmcode ausführen, sind nicht betroffen.
CVE-2017-10086 CVE-2017-10089 CVE-2017-10110: Schwachstellen in Java SE
ermöglichen komplette Kompromittierung der Software
In den Subkomponenten JavaFX, ImageIO und AWT von Java SE bestehen mehrere
leicht auszunutzende Schwachstellen, durch die ein entfernter, nicht
authentisierter Angreifer Java SE über verschiedene Netzwerkprotokolle
komplett kompromittieren kann. Die erfolgreiche Ausnutzung der
Schwachstellen erfordert die Interaktion eines Benutzers der Software und
ermöglicht dem Angreifer auch, Einfluss auf andere Produkte zu nehmen. Die
Schwachstellen betreffen typischerweise Client-Installationen von Java, die
sich im Sicherheitskontext auf die Java Sandbox verlassen.
Server-Installationen, die nur vertrauenswürdigen Programmcode ausführen,
sind nicht betroffen.
CVE-2017-10081: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Manipulation von Daten
Über die Subkomponente Hotspot von Java SE und Java SE Embedded kann ein
entfernter, nicht authentisierter Angreifer die betroffene Software
kompromittieren. Die erfolgreiche Ausnutzung der einfach auszunutzenden
Schwachstelle erfordert die Interaktion eines Benutzers und ermöglicht dem
Angreifer die Manipulation einiger der von Java SE und Java SE Embedded
erreichbaren Daten. Die Schwachstelle betrifft typischerweise
Client-Installationen von Java, die sich im Sicherheitskontext auf die Java
Sandbox verlassen. Server-Installationen, die nur vertrauenswürdigen
Programmcode ausführen, sind nicht betroffen.
CVE-2017-10078: Schwachstelle in Java SE ermöglicht komplette
Kompromittierung der Software
Eine leicht auszunutzende Schwachstelle in der Subkomponente Scripting von
Java SE ermöglicht einem entfernten, einfach authentisierten Angreifer, die
Software über verschiedene Protokolle zu kompromittieren. Die Schwachstelle
kann über Java Anwendungen in der Sandbox oder über Anfragen an die
Programmschnittstellen der Subkomponente ausgenutzt werden. Der Angreifer
erhält durch einen erfolgreichen Angriff Zugriff auf sämtliche von Java SE
erreichbaren Daten.
CVE-2017-10074: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung der Software
Über die Subkomponente Hotspot von Java SE und Java SE Embedded kann ein
entfernter, nicht authentisierter Angreifer die betroffene Software komplett
kompromittieren. Die erfolgreiche Ausnutzung der schwer auszunutzenden
Schwachstelle erfordert die Interaktion eines Benutzers und ermöglicht dem
Angreifer darüber hinaus, Einfluss auf andere Produkte auf betroffenen
Systemen zu nehmen. Die Schwachstelle betrifft typischerweise
Client-Installationen von Java, die sich im Sicherheitskontext auf die Java
Sandbox verlassen. Server-Installationen, die nur vertrauenswürdigen
Programmcode ausführen, sind nicht betroffen.
CVE-2017-10067: Schwachstelle in Java SE ermöglicht komplette
Kompromittierung der Software
In der Subkomponente Security von Java SE besteht eine schwer auszunutzende
Schwachstelle, durch die ein entfernter, nicht authentisierter Angreifer
Java SE über verschiedene Netzwerkprotokolle komplett kompromittieren kann.
Die erfolgreiche Ausnutzung der Schwachstelle erfordert die Interaktion
eines Benutzers der Software. Die Schwachstelle betrifft typischerweise
Client-Installationen von Java, die sich im Sicherheitskontext auf die Java
Sandbox verlassen. Server-Installationen, die nur vertrauenswürdigen
Programmcode ausführen, sind nicht betroffen.
CVE-2017-10053 CVE-2017-10108 CVE-2017-10109: Schwachstellen in Java SE,
Java SE Embedded und JRockit ermöglichen u.a. Denial-of-Service-Angriff
Mehrere leicht auszunutzende Schwachstellen in den Subkomponenten 2D und
Serialization von Java SE, Java SE Embedded und JRockit ermöglichen einem
entfernten, nicht authentisierten Angreifer die Durchführung partieller
Denial-of-Service-Angriffe und die weitere Kompromittierung der betroffenen
Software über verschiedene Netzwerkprotokolle. Die Schwachstellen können
über Java Web Start Anwendungen und Java Applets in der Sandbox oder über
Datenversand an die Programmschnittstellen der betroffenen Subkomponenten
ohne Sandbox ausgenutzt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1241/
Download von Java Updates:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
Oracle Critical Patch Update Advisory – Juli 2017 – Oracle Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html#AppendixJAVA
CPUApr2017 Risk Matrix – Oracle Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujul2017verbose-3236625.html#JAVA
Schwachstelle CVE-2017-10053 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10053
Schwachstelle CVE-2017-10067 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10067
Schwachstelle CVE-2017-10074 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10074
Schwachstelle CVE-2017-10078 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10078
Schwachstelle CVE-2017-10081 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10081
Schwachstelle CVE-2017-10086 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10086
Schwachstelle CVE-2017-10087 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10087
Schwachstelle CVE-2017-10089 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10089
Schwachstelle CVE-2017-10090 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10090
Schwachstelle CVE-2017-10096 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10096
Schwachstelle CVE-2017-10101 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10101
Schwachstelle CVE-2017-10102 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10102
Schwachstelle CVE-2017-10104 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10104
Schwachstelle CVE-2017-10105 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10105
Schwachstelle CVE-2017-10107 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10107
Schwachstelle CVE-2017-10108 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10108
Schwachstelle CVE-2017-10109 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10109
Schwachstelle CVE-2017-10110 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10110
Schwachstelle CVE-2017-10111 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10111
Schwachstelle CVE-2017-10114 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10114
Schwachstelle CVE-2017-10115 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10115
Schwachstelle CVE-2017-10116 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10116
Schwachstelle CVE-2017-10117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10117
Schwachstelle CVE-2017-10118 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10118
Schwachstelle CVE-2017-10121 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10121
Schwachstelle CVE-2017-10125 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10125
Schwachstelle CVE-2017-10135 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10135
Schwachstelle CVE-2017-10145 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10145
Schwachstelle CVE-2017-10176 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10176
Schwachstelle CVE-2017-10193 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10193
Schwachstelle CVE-2017-10198 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10198
Schwachstelle CVE-2017-10243 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10243
Oracle Linux Security Advisory ELSA-2017-1789:
https://linux.oracle.com/errata/ELSA-2017-1789.html
Red Hat Security Advisory RHSA-2017:1789 (OpenJDK):
http://rhn.redhat.com/errata/RHSA-2017-1789.html
Red Hat Security Advisory RHSA-2017:1790 (Java SE 8):
http://rhn.redhat.com/errata/RHSA-2017-1790.html
Red Hat Security Advisory RHSA-2017:1791 (Java SE 7):
http://rhn.redhat.com/errata/RHSA-2017-1791.html
Red Hat Security Advisory RHSA-2017:1792 (Java SE 6):
http://rhn.redhat.com/errata/RHSA-2017-1792.html
Fedora Security Update FEDORA-2017-605557de96 (Fedora 24,
java-1.8.0-openjdk-1.8.0.141-1.b16.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-605557de96
Fedora Security Update FEDORA-2017-735e2ae663 (Fedora 25,
java-1.8.0-openjdk-1.8.0.141-1.b16.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-735e2ae663
Fedora Security Update FEDORA-2017-fe57cf60c3 (Fedora 26,
java-1.8.0-openjdk-1.8.0.141-1.b16.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-fe57cf60c3
Fedora Security Update FEDORA-2017-873ab0f17d (Fedora 24,
java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-873ab0f17d
Debian Security Advisory DSA-3919-1:
https://www.debian.org/security/2017/dsa-3919
Ubuntu Security Notice USN-3366-1:
http://www.ubuntu.com/usn/usn-3366-1/
Fedora Security Update FEDORA-2017-721314e3b3 (Fedora 26,
java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-721314e3b3
Fedora Security Update FEDORA-2017-be3df4fe14 (Fedora 25,
java-1.8.0-openjdk-aarch32-1.8.0.141-1.170721):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-be3df4fe14
Ubuntu Security Notice USN-3366-2:
http://www.ubuntu.com/usn/usn-3366-2/
Red Hat Security Advisory RHSA-2017:2424:
http://rhn.redhat.com/errata/RHSA-2017-2424.html
Oracle Linux Security Update ELSA-2017-2424:
https://linux.oracle.com/errata/ELSA-2017-2424.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
