Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (19.01.22):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Dateien zu manipulieren, Informationen auszuspähen und Denial-of-Service
(DoS)-Angriffe durchzuführen.

Alle Schwachstellen betreffen Client-Installationen, die nicht
vertrauenswürdigen Programmcode in der Java Sandbox ausführen oder können
über Anwendungen, die nicht vertrauenswürdige Daten an
Programmschnittstellen (APIs) der betroffenen Komponenten übermitteln,
ausgenutzt werden.

Oracle stellt die Sicherheitsupdates Java SE Development Kit 7, Update 331
(JDK 7u331); Java SE Development Kit 8, Update 321 (JDK 8u321) sowie Java SE
Development Kit 11.0.14 und 17.0.2 zur Behebung der Schwachstellen zur
Verfügung. Java SE Embedded 8u321 adressiert die für JDK 8u321 relevanten
Schwachstellen ebenfalls.

Oracle veröffentlicht zudem GraalVM Enterprise Edition 20.3.5 und 21.3.1,
mit denen abhängig von der eingesetzten Basisversion das Sicherheitsniveau
von Oracle JDK 8u321, 11.0.14 oder 17.0.2 umgesetzt wird. Gleichzeitig wird
Node.js auf Version 14.18.1 aktualisiert, wodurch zwei weitere
Schwachstellen behoben werden, die einem Angreifer aus der Ferne HTTP-
Request-Smuggling-Angriffe ermöglichen (CVE-2021-22959, CVE-2021-22960).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0111]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html