DFN-CERT-2018-0102 Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung der Software

DFN-CERT-2018-0102 Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung der Software

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 8 (22.02.18):
IBM informiert darüber, dass die mit dem Oracle January 2018 Critical
Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK,
Java Technology Edition, in den Versionen 6, 6R1, 7, 7R1 und 8 betreffen,
und stellt Version 6 Service Refresh 16 Fix Pack 60, Version 6R1 Service
Refresh 8 Fix Pack 60, Version 7 Service Refresh 10 Fix Pack 20, Version
7R1 Service Refresh 4 Fix Pack 20 sowie die Version 8 Service Refresh 5
Fix Pack 10 als Sicherheitsupdates bereit, welche zusätzlich die
Schwachstelle CVE-2018-1417 adressieren.
Version 7 (29.01.18):
Für Fedora 26 und 27 steht nun das Paket
‘java-1.8.0-openjdk-1.8.0.161-0.b14.fc27’ als Sicherheitsupdate im Status
‘testing’ zur Verfügung, mit dem OpenJDK auf Version 8u161 aktualisiert
wird. Für Fedora 26 steht zusätzlich das aktuelle Paket
‘java-9-openjdk-9.0.4.11-3.fc26’ zur Verfügung, mit dem OpenJDK auf
Version 9.0.4+11 aktualisiert wird.
Version 6 (25.01.18):
Für Fedora 27 steht das aktuelle Paket ‘java-9-openjdk-9.0.4.11-3.fc27’
als Sicherheitsupdate im Status ‘testing’ zur Verfügung, mit dem OpenJDK
auf Version 9.0.4+11 aktualisiert und kleinere, mit dieser Version
aufgetretene Probleme behoben werden.
Version 5 (23.01.18):
Für Red Hat Enterprise Linux (RHEL) 6 und 7 stehen Sicherheitsupdates für
Oracle Java SE 6 auf Version 6 Update 181 für ‘java-1.6.0-sun’ bereit. Mit
diesen Updates werden das Oracle Java Runtime Environment und das Oracle
Java Software Development Kit ausgeliefert. Die Updates für Oracle Java
(Restricted Maintenance) stehen für RHEL Server, Desktop (Client), Compute
Node und Workstation 6 und 7 sowie für RHEL Server EUS 7.4 zur Verfügung.
Version 4 (19.01.18):
Für Red Hat Enterprise Linux (RHEL) 6 und 7 stehen Sicherheitsupdates für
Oracle Java SE 7 auf Version 7 Update 171 und Oracle Java SE 8 auf Version
8 Update 161 bereit. Mit diesen Updates werden das Oracle Java Runtime
Environment und das Oracle Java Software Development Kit ausgeliefert. Die
Updates für Oracle Java (Restricted Maintenance) stehen für RHEL Server,
Desktop (Client), Compute Node und Workstation 6 und 7 sowie für RHEL
Server EUS 7.4 zur Verfügung.
Version 3 (18.01.18):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen
Sicherheitsupdates für OpenJDK 8 bereit.
Version 2 (17.01.18):
Red Hat stellt Sicherheitsupdates für Red Hat Enterprise Linux 6 und 7 in
den Ausprägungen Desktop, Server und Workstation, Red Hat Enterprise Linux
for Scientific Computing 6 und 7, Red Hat Enterprise Linux EUS Compute
Node 7.4 sowie Red Hat Enterprise Linux Server 7.4 in den Versionen
Advanced Update Support (AUS), Extented Update Support (EUS) und Telecom
Update Support (TUS) in Form aktualisierter ‘java-1.8.0-openjdk’-Pakete
zur Verfügung. Diese beinhalten OpenJDK 8 Java Runtime Environment und the
OpenJDK 8 Java Software Development Kit.
Version 1 (17.01.18):
Neues Advisory

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE,
Java SE Embedded, JRockit und der Java Advanced Management Console
ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die
Kompromittierung der Software und, abhängig von den Rechten des aktiven
Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems.
Darüber hinaus sind verschiedene Denial-of-Service (DoS)-Angriffe sowie das
Ausspähen und die Manipulation von durch die Software erreichbarer und
weiterer kritischer Daten möglich. Eine der Schwachstellen betrifft das
Installationswerkzeug von Java SE auf Windows-Systemen, die Ausnutzung
zweier weiterer Schwachstellen erfordert bestimmte Privilegien.

Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des
Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development
Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen
aktuelle Versionen von Java SE 9 (Version 9.0.4), Java SE 8 (Version 8u162)
und Java SE Embedded 8 (Version 8u161) zum Download zur Verfügung. Die Java
Advanced Management Console wird auf Version 2.9 aktualisiert, um die
entsprechende Schwachstelle zu beheben.

Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015
und JRockit sind nur noch auf Anfrage verfügbar. Oracle kündigt darüber
hinaus das Ende der öffentlichen Updates für Oracle Java SE 8 für September
2018 an. Java SE 9.0.4 ist nach Aussage des Herstellers die letzte für
diesen Versionszweig geplante Version.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0102]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben