Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (23.01.2018):
Für Red Hat Enterprise Linux (RHEL) 6 und 7 stehen Sicherheitsupdates für
Oracle Java SE 6 auf Version 6 Update 181 für ‘java-1.6.0-sun’ bereit. Mit
diesen Updates werden das Oracle Java Runtime Environment und das Oracle
Java Software Development Kit ausgeliefert. Die Updates für Oracle Java
(Restricted Maintenance) stehen für RHEL Server, Desktop (Client), Compute
Node und Workstation 6 und 7 sowie für RHEL Server EUS 7.4 zur Verfügung.
Version 4 (19.01.2018):
Für Red Hat Enterprise Linux (RHEL) 6 und 7 stehen Sicherheitsupdates für
Oracle Java SE 7 auf Version 7 Update 171 und Oracle Java SE 8 auf Version
8 Update 161 bereit. Mit diesen Updates werden das Oracle Java Runtime
Environment und das Oracle Java Software Development Kit ausgeliefert. Die
Updates für Oracle Java (Restricted Maintenance) stehen für RHEL Server,
Desktop (Client), Compute Node und Workstation 6 und 7 sowie für RHEL
Server EUS 7.4 zur Verfügung.
Version 3 (18.01.2018):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen
Sicherheitsupdates für OpenJDK 8 bereit.
Version 2 (17.01.2018):
Red Hat stellt Sicherheitsupdates für Red Hat Enterprise Linux 6 und 7 in
den Ausprägungen Desktop, Server und Workstation, Red Hat Enterprise Linux
for Scientific Computing 6 und 7, Red Hat Enterprise Linux EUS Compute
Node 7.4 sowie Red Hat Enterprise Linux Server 7.4 in den Versionen
Advanced Update Support (AUS), Extented Update Support (EUS) und Telecom
Update Support (TUS) in Form aktualisierter ‘java-1.8.0-openjdk’-Pakete
zur Verfügung. Diese beinhalten OpenJDK 8 Java Runtime Environment und the
OpenJDK 8 Java Software Development Kit.
Version 1 (17.01.2018):
Neues Advisory
Betroffene Software:
Java Advanced Management Console < 2.9 Oracle Java SE 6u171 Oracle Java SE < 6u181 Oracle Java SE 7u161 Oracle Java SE < 7u171 Oracle Java SE < 8u162 Oracle Java SE < 9.0.4 Oracle Java SE Embedded < 8u161 Oracle JRockit R28.3.16 OpenJDK 1.8.0 Betroffene Plattformen: Apple macOS GNU/Linux HP-UX Microsoft Windows Oracle Linux 6 Oracle Linux 7 Oracle Solaris Red Hat Enterprise Linux for Scientific Computing 6 Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux 6 Workstation Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded, JRockit und der Java Advanced Management Console ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Darüber hinaus sind verschiedene Denial-of-Service (DoS)-Angriffe sowie das Ausspähen und die Manipulation von durch die Software erreichbarer und weiterer kritischer Daten möglich. Eine der Schwachstellen betrifft das Installationswerkzeug von Java SE auf Windows-Systemen, die Ausnutzung zweier weiterer Schwachstellen erfordert bestimmte Privilegien. Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 9 (Version 9.0.4), Java SE 8 (Version 8u162) und Java SE Embedded 8 (Version 8u161) zum Download zur Verfügung. Die Java Advanced Management Console wird auf Version 2.9 aktualisiert, um die entsprechende Schwachstelle zu beheben. Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Oracle kündigt darüber hinaus das Ende der öffentlichen Updates für Oracle Java SE 8 für September 2018 an. Java SE 9.0.4 ist nach Aussage des Herstellers die letzte für diesen Versionszweig geplante Version. Patch: Oracle Critical Patch Update Advisory Januar 2018 - CPUJan2018 (Oracle Java SE) http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixJAVA
Patch:
Oracle Java Advanced Management Console 2.9 Release Notes
http://www.oracle.com/technetwork/java/javase/amc29releasenotes-4105172.html
Patch:
Oracle Java SE Development Kit 8, Update 162 (JDK 8u162) Release Notes
http://www.oracle.com/technetwork/java/javase/8u162-relnotes-4021436.html
Patch:
Oracle Java SE Development Kit 9.0.4 (JDK 9.0.4) Release Notes
http://www.oracle.com/technetwork/java/javase/9-0-4-relnotes-4021191.html
Patch:
Oracle Java SE Embedded 8u161 Release Notes
http://www.oracle.com/technetwork/java/javase/emb8u161-relnotes-4021470.html
Patch:
Red Hat Security Advisory RHSA-2018:0095
https://access.redhat.com/errata/RHSA-2018:0095
Patch:
Oracle Linux Security Advisory ELSA-2018-0095
https://linux.oracle.com/errata/ELSA-2018-0095.html
Patch:
Red Hat Security Advisory RHSA-2018:0099
https://access.redhat.com/errata/RHSA-2018:0099
Patch:
Red Hat Security Advisory RHSA-2018:0100
https://access.redhat.com/errata/RHSA-2018:0100
Patch:
Red Hat Security Advisory RHSA-2018:0115
https://access.redhat.com/errata/RHSA-2018:0115
CVE-2018-2677: Schwachstelle in Oracle Java SE und Java SE Embedded
ermöglicht Denial-of-Service-Angriff
In der Subkomponente AWT von Java SE und Java SE Embedded besteht eine
leicht auszunutzende Schwachstelle, durch die ein entfernter, nicht
authentisierter Angreifer die Software über verschiedene Netzwerkprotokolle
kompromittieren kann. Die erfolgreiche Ausnutzung der Schwachstelle
ermöglicht dem Angreifer einen Denial-of-Service-Angriff. Die Schwachstelle
betrifft Client- und Server-Installationen von Java.
CVE-2018-2675: Schwachstelle in Java Advanced Management Console ermöglicht
Ausspähen von Informationen
In der Subkomponente Server der Java Advanced Management Console besteht
eine schwer auszunutzende Schwachstelle, durch die ein entfernter, nicht
authentisierter Angreifer Lesezugriff auf eine Untermenge der von der
betroffenen Software erreichbaren Daten erhalten kann.
CVE-2018-2663 CVE-2018-2678: Schwachstellen in Oracle Java SE, Java SE
Embedded und JRockit ermöglichen Denial-of-Service-Angriff
In den Subkomponenten Libraries und JNDI von Java SE, Java SE Embedded und
JRockit besteht je eine leicht auszunutzende Schwachstelle, durch die ein
entfernter, nicht authentisierter Angreifer die Software über verschiedene
Netzwerkprotokolle kompromittieren kann. Die erfolgreiche Ausnutzung der
Schwachstellen erfordert die Interaktion eines Benutzers der Software und
ermöglicht dem Angreifer einen Denial-of-Service-Angriff. Die Schwachstellen
betreffen Client- und Server-Installationen von Java.
CVE-2018-2657: Schwachstelle in Oracle Java SE und JRockit ermöglicht
Denial-of-Service-Angriff
In der Subkomponente Serialization von Java SE und JRockit besteht eine
leicht auszunutzende Schwachstelle, durch die ein entfernter, nicht
authentisierter Angreifer die Software über verschiedene Netzwerkprotokolle
kompromittieren kann. Die erfolgreiche Ausnutzung der Schwachstelle
ermöglicht dem Angreifer einen Denial-of-Service-Angriff. Die Schwachstelle
kann durch API-Zugriff auf die betroffene Komponente ausgenutzt werden.
CVE-2018-2641: Schwachstelle in Oracle Java SE und Java SE Embedded
ermöglicht Manipulation von Daten
Über die Subkomponente AWT von Java SE und Java SE Embedded kann ein
entfernter, nicht authentisierter Angreifer die betroffene Software
kompromittieren. Die erfolgreiche Ausnutzung der schwer auszunutzenden
Schwachstelle erfordert die Interaktion eines Benutzers und ermöglicht dem
Angreifer die Manipulation aller von der betroffenen Software erreichbaren
und weiterer kritischer Daten. Die Schwachstelle betrifft
Client-Installationen von Java und ermöglicht die Einflussnahme auf weitere
Produkte.
CVE-2018-2638 CVE-2018-2639: Schwachstellen in Oracle Java SE ermöglichen
Kompromittierung der Software
In der Subkomponente Deployment von Java SE bestehen zwei schwer
auszunutzende Schwachstellen, durch die ein entfernter, nicht
authentisierter Angreifer Java SE über verschiedene Netzwerkprotokolle
komplett kompromittieren kann. Die erfolgreiche Ausnutzung der
Schwachstellen erfordert die Interaktion eines Benutzers der Software und
ermöglicht dem Angreifer auch, Einfluss auf andere Produkte zu nehmen. Die
Schwachstellen betreffen Client-Installationen von Java.
CVE-2018-2637: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Daten und Ausspähen von Informationen
Über die Subkomponente JMX von Java SE, Java SE Embedded und JRockit kann
ein entfernter, nicht authentisierter Angreifer die betroffene Software
kompromittieren. Die erfolgreiche Ausnutzung der schwer auszunutzenden
Schwachstelle ermöglicht dem Angreifer den Lesezugriff auf und die
Manipulation von allen von der betroffenen Software erreichbaren und
weiterer kritischer Daten. Die Schwachstelle kann über den API-Zugriff auf
JMX ausgenutzt werden.
CVE-2018-2634: Schwachstelle in Oracle Java SE und Java SE Embedded
ermöglicht Ausspähen von Informationen
In der Subkomponente JGSS von Java SE und Java SE Embedded besteht eine
schwer auszunutzende Schwachstelle, durch die ein entfernter, nicht
authentisierter Angreife über verschiedene Netzwerkprotokolle Lesezugriff
auf alle von der Software erreichbaren und weitere kritische Daten erhalten
kann. Die Schwachstelle betrifft Client-Installationen von Java. Eine
erfolgreiche Ausnutzung der Schwachstelle ermöglicht die Einflussnahme auf
weitere Produkte.
CVE-2018-2633: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
ermöglicht Kompromittierung der Software
In der Subkomponente JNDI von Java SE, Java SE Embedded und JRockit besteht
eine schwer auszunutzende Schwachstelle, durch die ein entfernter, nicht
authentisierter Angreifer Java SE über verschiedene Netzwerkprotokolle
komplett kompromittieren kann. Die erfolgreiche Ausnutzung der Schwachstelle
erfordert die Interaktion eines Benutzers der Software und ermöglicht dem
Angreifer auch, Einfluss auf andere Produkte zu nehmen. Die Schwachstelle
betrifft Client- und Server-Installationen von Java.
CVE-2018-2629: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Daten
Über die Subkomponente JGSS von Java SE, Java SE Embedded und JRockit kann
ein entfernter, nicht authentisierter Angreifer die betroffene Software
kompromittieren. Die erfolgreiche Ausnutzung der schwer auszunutzenden
Schwachstelle erfordert die Interaktion eines Benutzers und ermöglicht dem
Angreifer die Manipulation aller von der betroffenen Software erreichbaren
und weiterer kritischer Daten. Die Schwachstelle betrifft Client- und
Server-Installationen von Java.
CVE-2018-2627: Schwachstelle in Oracle Java SE ermöglicht Kompromittierung
der Software
Es besteht eine schwer auszunutzende Schwachstelle im Installationswerkzeug
von Oracle Java SE auf Windows-Systemen. Die erfolgreiche Ausnutzung der
Schwachstelle erfordert die Interaktion eines vom Angreifer verschiedenen
Benutzers der Software. Ein lokaler, einfach authentifizierter Angreifer
kann die Schwachstelle ausnutzen, um die Anwendung komplett zu
kompromittieren und dadurch Einfluss auf andere Produkte zu nehmen.
CVE-2018-2618: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen
In der Subkomponente JCE von Java SE, Java SE Embedded und JRockit besteht
eine schwer auszunutzende Schwachstelle, durch die ein entfernter, nicht
authentisierter Angreifer über verschiedene Netzwerkprotokolle Lesezugriff
auf alle von der Software erreichbaren und weitere kritische Daten erhalten
kann. Die Schwachstelle betrifft Client- und Server-Installationen von Java.
CVE-2018-2603: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
ermöglicht Denial-of-Service-Angriff
In der Subkomponente Libraries von Java SE, Java SE Embedded und JRockit
besteht eine leicht auszunutzende Schwachstelle, durch die ein entfernter,
nicht authentisierter Angreifer die Software über verschiedene
Netzwerkprotokolle kompromittieren kann. Die erfolgreiche Ausnutzung der
Schwachstelle ermöglicht dem Angreifer einen Denial-of-Service-Angriff. Die
Schwachstelle betrifft Client- und Server-Installationen von Java.
CVE-2018-2602: Schwachstelle in Oracle Java SE und Java SE Embedded
ermöglicht Kompromittierung der Software
Über die Subkomponente I18n von Java SE und Java SE Embedded kann ein
lokaler, nicht authentisierter Angreifer die betroffene Software
kompromittieren. Die erfolgreiche Ausnutzung der schwer auszunutzenden
Schwachstelle erfordert die Interaktion eines Benutzers und den Zugriff auf
die Infrastruktur, auf der Java SE oder Java SE Embedded betrieben werden.
Der Angreifer kann dann einige der von Java SE und Java SE Embedded
erreichbaren Daten manipulieren, weitere Daten ausspähen und darüber hinaus
einen Denial-of-Service-Angriff (DoS) ausführen. Die Schwachstelle betrifft
typischerweise Client-Installationen von Java.
CVE-2018-2599: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
ermöglicht Manipulation von Daten und Denial-of-Service-Angriff
Über die Subkomponente JNDI von Java SE, Java SE Embedded und JRockit kann
ein entfernter, nicht authentisierter Angreifer die betroffene Software
kompromittieren. Die erfolgreiche Ausnutzung der schwer auszunutzenden
Schwachstelle ermöglicht dem Angreifer die Manipulation einiger der von der
Software erreichbaren Daten und zusätzlich einen Denial-of-Service-Angriff.
Die Schwachstelle betrifft Client- und Server-Installationen von Java.
CVE-2018-2588: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen
In der Subkomponente LDAP von Java SE, Java SE Embedded und JRockit besteht
eine leicht auszunutzende Schwachstelle, durch die ein entfernter Angreifer
mit niedrigen Privilegien die Software über verschiedene Netzwerkprotokolle
kompromittieren kann. Die erfolgreiche Ausnutzung der Schwachstelle
ermöglicht dem Angreifer den Lesezugriff auf eine Untermenge der von der
betroffenen Software erreichbaren Daten. Die Schwachstelle betrifft Client-
und Server-Installationen von Java.
CVE-2018-2582: Schwachstelle in Oracle Java SE und Java SE Embedded
ermöglicht Manipulation von Daten
Über die Subkomponente Hotspot von Java SE und Java SE Embedded kann ein
entfernter, nicht authentisierter Angreifer die betroffene Software
kompromittieren. Die erfolgreiche Ausnutzung der einfach auszunutzenden
Schwachstelle erfordert die Interaktion eines Benutzers und ermöglicht dem
Angreifer die Manipulation einiger der von Java SE und Java SE Embedded
erreichbaren Daten. Die Schwachstelle betrifft Client- und
Server-Installationen von Java.
CVE-2018-2581: Schwachstelle in Oracle Java SE ermöglicht Ausspähen von
Informationen
Eine leicht auszunutzende Schwachstelle in der Subkomponente JavaFX von Java
SE ermöglicht einem entfernten, nicht authentisierten Angreifer das
Ausspähen einiger der der betroffenen Software zugänglichen Informationen
über verschiedene Netzwerkprotokolle. Ein erfolgreicher Angriff erfordert
die Interaktion eines Benutzers der Software und kann tiefgreifende
Auswirkungen auf andere Produkte haben. Die Schwachstelle betrifft
Client-Installationen von Java.
CVE-2018-2579: Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen
In der Subkomponente Libraries von Java SE, Java SE Embedded und JRockit
besteht eine schwer auszunutzende Schwachstelle, durch die ein entfernter,
nicht authentisierter Angreifer die Software über verschiedene
Netzwerkprotokolle kompromittieren kann. Die erfolgreiche Ausnutzung der
Schwachstelle ermöglicht dem Angreifer den Lesezugriff auf eine Untermenge
der von der betroffenen Software erreichbaren Daten. Die Schwachstelle
betrifft Client-Installationen von Java.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0102/
Oracle Critical Patch Update Advisory Januar 2018 – CPUJan2018 (Oracle Java
SE):
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixJAVA
Oracle Java Advanced Management Console 2.9 Release Notes:
http://www.oracle.com/technetwork/java/javase/amc29releasenotes-4105172.html
Oracle Java SE Development Kit 8, Update 162 (JDK 8u162) Release Notes:
http://www.oracle.com/technetwork/java/javase/8u162-relnotes-4021436.html
Oracle Java SE Development Kit 9.0.4 (JDK 9.0.4) Release Notes:
http://www.oracle.com/technetwork/java/javase/9-0-4-relnotes-4021191.html
Oracle Java SE Embedded 8u161 Release Notes:
http://www.oracle.com/technetwork/java/javase/emb8u161-relnotes-4021470.html
Red Hat Security Advisory RHSA-2018:0095:
https://access.redhat.com/errata/RHSA-2018:0095
Oracle CPUJan2018 Risk Matrix – Oracle Java SE:
http://www.oracle.com/technetwork/security-advisory/cpujan2018verbose-3236630.html#JAVA
Schwachstelle CVE-2018-2579 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2579
Schwachstelle CVE-2018-2581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2581
Schwachstelle CVE-2018-2582 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2582
Schwachstelle CVE-2018-2588 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2588
Schwachstelle CVE-2018-2599 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2599
Schwachstelle CVE-2018-2602 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2602
Schwachstelle CVE-2018-2603 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2603
Schwachstelle CVE-2018-2618 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2618
Schwachstelle CVE-2018-2627 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2627
Schwachstelle CVE-2018-2629 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2629
Schwachstelle CVE-2018-2633 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2633
Schwachstelle CVE-2018-2634 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2634
Schwachstelle CVE-2018-2637 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2637
Schwachstelle CVE-2018-2638 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2638
Schwachstelle CVE-2018-2639 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2639
Schwachstelle CVE-2018-2641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2641
Schwachstelle CVE-2018-2657 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2657
Schwachstelle CVE-2018-2663 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2663
Schwachstelle CVE-2018-2675 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2675
Schwachstelle CVE-2018-2677 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2677
Schwachstelle CVE-2018-2678 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2678
Oracle Linux Security Advisory ELSA-2018-0095:
https://linux.oracle.com/errata/ELSA-2018-0095.html
Red Hat Security Advisory RHSA-2018:0099:
https://access.redhat.com/errata/RHSA-2018:0099
Red Hat Security Advisory RHSA-2018:0100:
https://access.redhat.com/errata/RHSA-2018:0100
Red Hat Security Advisory RHSA-2018:0115:
https://access.redhat.com/errata/RHSA-2018:0115
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
