Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 25 (15.09.22):
Für Fedora EPEL 8 und 9 stehen Sicherheitsupdates in Form von ‘java-
latest-openjdk-18.0.2.0.9-1.rolling’-Paketen im Status ‘testing’ zur
Verfügung.
Version 24 (08.09.22):
Der Hersteller IBM informiert darüber, dass die vom OpenJDK-Projekt als
Teil des Schwachstellen-Advisories vom Juli 2022 veröffentlichten Java-SE-
Schwachstellen auch IBM Semeru Runtime in den Versionen 8.0.302.0 –
8.0.332.0, 11.0.12.0 – 11.0.15.0, 17.0.1.0 – 17.0.3.0 und 18.0.1.0 –
18.0.1.1 betreffen können und stellt die Versionen 8.0.345.0, 11.0.16.0,
17.0.4.0 und 18.0.2.0 zu deren Behebung bereit, wobei insbesondere
CVE-2022-34169 und CVE-2022-21549 referenziert werden.
Version 23 (08.09.22):
Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS und
12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise
Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software
Development Kit 12 SP5, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud
Crowbar 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen
in ‘java-1_8_0-ibm’ behoben werden.
Version 22 (01.09.22):
Der Hersteller IBM informiert darüber, dass die Schwachstellen auch IBM®
SDK, Java™ Technology Edition betreffen können und stellt die Versionen
7.0.11.15 und 8.0.7.15 zu deren Behebung bereit. Die Schwachstellen
CVE-2022-21541 und CVE-2022-21540 betreffen dabei nur Solaris, HP-UX und
MacOS.
Version 21 (31.08.22):
Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux
Enterprise Module for Legacy Software 15 SP3 und 15 SP4, SUSE Linux
Enterprise Server 15 LTSS, 15 SP1 BCL / LTSS und 15 SP2 LTSS, SUSE Linux
Enterprise Server for SAP 15, 15 SP1 und 15 SP2, SUSE Linux Enterprise
Storage 7.1, SUSE Manager Proxy 4.1, 4.2 und 4.3, SUSE Manager Retail
Branch Server 4.1, 4.2 und 4.3, SUSE Manager Server 4.1, 4.2 und 4.3 sowie
für openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates
bereit, mit denen die Schwachstellen in ‘java-1_8_0-ibm’ behoben werden.
Version 20 (26.08.22):
Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS und
12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise
Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software
Development Kit 12 SP5, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud
Crowbar 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen
in ‘java-1_7_1-ibm’ und ‘java-1_8_0-ibm’ behoben werden.
Version 19 (23.08.22):
Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets ‘java-
latest-openjdk-18.0.2.0.9-1.rolling.el7’ im Status ‘testing’ zur
Verfügung.
Version 18 (22.08.22):
Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux
Enterprise Module for Legacy Software 15 SP3 und 15 SP4, SUSE Linux
Enterprise Server 15 LTSS, 15 SP1 BCL / LTSS und 15 SP2 LTSS, SUSE Linux
Enterprise Server for SAP 15, 15 SP1 und 15 SP2, SUSE Linux Enterprise
Storage 7.1, SUSE Manager Proxy 4.1, 4.2 und 4.3, SUSE Manager Retail
Branch Server 4.1, 4.2 und 4.3, SUSE Manager Server 4.1, 4.2 und 4.3,
sowie für openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen
Sicherheitsupdates bereit, mit denen die Schwachstellen in
‘java-1_8_0-openjdk’ behoben werden.
Version 17 (17.08.22):
Für SUSE Linux Enterprise Server 12 SP2 BCL 12 SP3 BCL, 12 SP4 LTSS und 12
SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE OpenStack Cloud 9
und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates bereit, mit
denen die Schwachstellen in ‘java-1_8_0-openjdk’ behoben werden.
Version 16 (09.08.22):
Für openSUSE Leap 15.3 und 15.4, SUSE CaaS Platform 4.0, SUSE Linux
Enterprise Desktop 15 SP3 und SP4, SUSE Linux Enterprise High Performance
Computing 15 ESPOS, LTSS, SP1 ESPOS, SP1 LTSS, SP2 ESPOS, SP2 LTSS, SP3
und SP4, SUSE Linux Enterprise Module for Basesystem 15 SP3 und SP4, SUSE
Linux Enterprise Module for Packagehub Subpackages 15 SP3 und SP4, SUSE
Linux Enterprise Server 15 LTSS, SP1 BCL, SP1 LTSS, SP2 BCL, SP2 LTSS, SP3
und SP4, SUSE Linux Enterprise Server for SAP 15, 15 SP1 und SP2 sowie
SUSE Linux Enterprise Server for SAP Applications 15 SP3 und SP4, SUSE
Linux Enterprise Storage 6, 7 und 7.1 sowie SUSE Manager Proxy, Server und
Retail Branch Server 4.1, 4.2 und 4.3 stehen Sicherheitsupdates bereit, um
die für ‘java-11-openjdk’ relevanten Schwachstellen zu adressieren.
Version 15 (05.08.22):
Für Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04
ESM stehen mit aktualisierten Paketen von ‘openjdk-8’, ‘openjdk-17’,
‘openjdk-18’ und ‘openjdk-lts’ Sicherheitsupdates für verschiedene
Versionszweige von OpenJDK auf Basis aktueller Versionen der Software
bereit. In den Sicherheitshinweisen werden zusätzliche Schwachstellen
erwähnt, die mit früheren Versionen von OpenJDK adressiert wurden.
Version 14 (04.08.22):
Für openSUSE Leap 15.4, SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux
Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Module
for Basesystem 15 SP4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux
Enterprise Server for SAP Applications 15 SP4, SUSE Manager Proxy 4.3,
SUSE Manager Retail Branch Server 4.3 sowie SUSE Manager Server 4.3 stehen
Sicherheitsupdates bereit, mit denen die Schwachstellen in
‘java-17-openjdk’ behoben werden.
Version 13 (02.08.22):
Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für
‘java-11-openjdk’ zur Verfügung.
Version 12 (01.08.22):
Für OpenJDK Java (for Middleware) 1 (x86_64) stehen von Red Hat gebaute
Versionen von OpenJDK 11.0.16 und OpenJDK 17.0.4 als Sicherheitsupdates
für Windows und Linux zur Verfügung.
Version 11 (29.07.22):
Für OpenJDK Java (for Middleware) 1 (x86_64) stehen Sicherheitsupdates in
Form der Red Hat Builds of OpenJDK 8 (java-1.8.0-openjdk) in Version 8u342
für Linux und Windows zur Verfügung, um die betreffenden Schwachstellen zu
beheben.
Version 10 (28.07.22):
Für Red Hat Enterprise Linux 9 und Oracle Linux 9 stehen
Sicherheitsupdates bereit, mit denen die für ‘java-17-openjdk’ relevanten
Schwachstellen adressiert werden. Die betroffene Software wird damit auf
Version 17.0.4.0.8 aktualisiert.
Version 9 (27.07.22):
Oracle veröffentlicht für Oracle Linux 9 (aarch64, 86_64)
Sicherheitsupdates für ‘java-1.8.0-openjdk’.
Version 8 (27.07.22):
Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für
‘openjdk-17’ in der Version 17.0.4+8-1~deb11u1 bereit.
Version 7 (27.07.22):
Für Red Hat Enterprise Linux 8 und Oracle Linux 8 stehen
Sicherheitsupdates bereit, mit denen die Schwachstellen in java-17-openjdk
adressiert werden.
Version 6 (27.07.22):
Das OpenJDK-Projekt gibt an, dass die für die einzelnen Versionszweige
relevanten Schwachstellen mit OpenJDK 7u351, 8u342, 11.0.16, 13.0.12,
15.0.8, 17.0.4 und 18.0.2 adressiert werden.
Für Fedora 35 und 36 stehen entsprechende Sicherheitsupdates für
‘java-1.8.0-openjdk’, ‘java-11-openjdk’, ‘java-17-openjdk’ und ‘java-
latest-openjdk’ im Status ‘testing’ zur Verfügung.
Version 5 (26.07.22):
Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 und 9 (x86_64,
aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 – Extended
Update Support 8.2, 8.4, 8.6 und 9.0 (x86_64, aarch64), Red Hat Enterprise
Linux Server / Workstation / Desktop 7 (x86_64), Red Hat Enterprise Linux
for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux
for x86_64 / ARM 64 – Extended Update Support 8.2, 8.4, 8.6 und 9.0
(x86_64, aarch64), Red Hat Enterprise Linux Server – AUS 8.2, 8.4 und 8.6
(x86_64), Red Hat Enterprise Linux Server – TUS 8.2, 8.4 und 8.6 (x86_64)
sowie für Red Hat Enterprise Linux Server for ARM 64 – 4 years of updates
9.0 (aarch64) stehen Sicherheitsupdates für ‘java-1.8.0-openjdk’ bzw.
‘java-11-openjdk’ zur Verfügung.
Oracle veröffentlicht für Oracle Linux 7, 8 und 9 (aarch64, x86_64)
korrespondierende Sicherheitsupdates für ‘ java-1.8.0-openjdk’ bzw.
‘java-11-openjdk’, um die jeweils betreffenden Schwachstellen zu beheben.
Version 4 (25.07.22):
Für Red Hat Enterprise Linux Server / Workstation / Desktop / for
Scientific Computing 7 (x86_64) stehen Sicherheitsupdates für
‘java-11-openjdk’ bereit, um die Schwachstellen zu beheben.
Version 3 (25.07.22):
Für Debian 10 Buster (oldstable) und Debian 11 Bullseye (stable) stehen
Sicherheitsupdates für ‘openjdk-11’ in den Versionen 11.0.16+8-1~deb10u1
und 11.0.16+8-1~deb11u1 bereit.
Version 2 (22.07.22):
Oracle veröffentlicht für Oracle Linux 7 und 8 (aarch64, x86_64)
Sicherheitsupdates für ‘ java-11-openjdk’ und adressiert damit die
Schwachstellen CVE-2022-21540, CVE-2022-21541 und CVE-2022-34169.
Korrespondierende Sicherheitsupdates stellt Red Hat für Red Hat Enterprise
Linux for x86_64 und for ARM 64 8, EUS 8.2, EUS 8.4 und EUS 8.6, Red Hat
Enterprise Linux Server AUS und TUS 8.2, 8.4 und 8.6 (x86_64) sowie
CodeReady for x86_64 und for ARM 64 8, EUS 8.4 und EUS 8.6 zur Verfügung.
Version 1 (20.07.22):
Neues Advisory
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Dateien zu manipulieren, Informationen auszuspähen und möglicherweise
beliebigen Java-Bytecode zur Ausführung zu bringen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Alle Schwachstellen betreffen Client-Installationen, die nicht
vertrauenswürdigen Programmcode in der Java Sandbox ausführen oder können
über Anwendungen, die nicht vertrauenswürdige Daten an
Programmschnittstellen (APIs) der betroffenen Komponenten übermitteln,
ausgenutzt werden.
Oracle stellt die Sicherheitsupdates Java SE Development Kit 7, Update 351
(JDK 7u351); Java SE Development Kit 8, Update 341 (JDK 8u341) sowie Java SE
Development Kit 11.0.16, 17.0.4 und 18.0.2 zur Behebung der Schwachstellen
zur Verfügung. Java SE Embedded 8u341 adressiert die für JDK 8u341
relevanten Schwachstellen ebenfalls.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-1606]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
