Kurzinfo CB-K17/1745 Update 4

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Oracle Java SE, JRockit, Java Management Console, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung des Systems
Datum: 24.10.2017
Software: Java Advanced Management Console < 2.8, Oracle Java SE < 6u171, Oracle Java SE < 7u161, Oracle Java SE < 8u151, Oracle Java SE < 9.0.1, Oracle Java SE Embedded < 8u151, Oracle JRockit R28.3.15, OpenJDK 1.8.0
Plattform: Apple Mac OS X, macOS Sierra, GNU/Linux, HP-UX, Microsoft Windows , Oracle Linux 6, Oracle Linux 7, Oracle Solaris, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2016-10165, CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843, CVE-2017-10274, CVE-2017-10281, CVE-2017-10285, CVE-2017-10293, CVE-2017-10295, CVE-2017-10309, CVE-2017-10341, CVE-2017-10342, CVE-2017-10345, CVE-2017-10346, CVE-2017-10347, CVE-2017-10348, CVE-2017-10349, CVE-2017-10350, CVE-2017-10355, CVE-2017-10356, CVE-2017-10357, CVE-2017-10380, CVE-2017-10386, CVE-2017-10388
Bezug: Download von Java Updates
Revisions Historie
  • Version: 5

    Red Hat stellt Sicherheitsupdates für Oracle Java (für RHEL Client / Compute Node / Server / Workstation) 6 und 7 sowie für Red Hat Enterprise Linux Compute Node und Server Extented Update Support (EUS) 7.4 in Form aktualisierter 'java-1.6.0-sun'- und 'java-1.7.0-oracle'-Pakete zur Verfügung, durch welche Oracle Java SE 6 auf Version 6 Update 171 und Oracle Java SE 7 auf Version 7 Update 161 aktualisiert wird.

  • Version: 4

    Red Hat stellt Sicherheitsupdates für Oracle Java (für RHEL Client / Compute Node / Server / Workstation) 6 und 7 sowie für Red Hat Enterprise Linux Compute Node und Server Extented Update Support (EUS) 7.4 in Form aktualisierter 'java-1.8.0-oracle'-Pakete zur Verfügung, durch welche Oracle Java SE 8 auf Version 8 Update 151 aktualisiert wird. Oracle Java SE 8 beinhaltet Oracle Java Runtime Environment 8 und Oracle Java Software Development Kit.

  • Version: 3

    Oracle stellt für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) aktualisierte 'java-1.8.0-openjdk'-Pakete in der Version 8u151 als Sicherheitsupdates bereit.

  • Version: 2

    Red Hat stellt Sicherheitsupdates für Red Hat Enterprise Linux 6 und 7 in den Ausprägungen Desktop, Server und Workstation, Red Hat Enterprise Linux for Scientific Computing 6 und 7, Red Hat Enterprise Linux EUS Compute Node 7.4 sowie Red Hat Enterprise Linux Server 7.4 in den Versionen Advanced Update Support (AUS), Extented Update Support (EUS) und Telecom Update Support (TUS) in Form aktualisierter 'java-1.8.0-openjdk'-Pakete zur Verfügung. Diese beinhalten OpenJDK 8 Java Runtime Environment und the OpenJDK 8 Java Software Development Kit.

  • Version: 1

    Neues Advisory

Beschreibung

Die Advanced Management Console dient Administratoren zur unternehmensweiten Kontrolle und Verwaltung von installierten Java-Versionen und zugehörigen Sicherheitsupdates.

Die Java Platform Standard Edition (Java SE) ist eine plattformübergreifende Umgebung für Anwendungen, die auf vielen Geräten laufen sollen.

Oracle Java SE Embedded ist eine Version von Oracle, die speziell auf den Einsatz in Embedded-Systemen ausgelegt ist.

Die Oracle JRockit JVM (Java Virtual Machine) ist eine Java virtuelle Maschine, die Teil der Oracle Middleware ist.

OpenJDK (Java Development Kit) als OpenSource-Variante zum Oracle JDK bietet Entwicklern neben der Java-Laufzeitumgebung (Runtime Environment, JRE) weitere Tools für Entwicklung, Debugging und Monitoring.

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded, JRockit und der Java Advanced Management Console ermöglichen einem entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Eine dieser Schwachstellen besteht im Java SE Kerberos Client. Darüber hinaus sind verschiedene Denial-of-Service-Angriffe sowie das Ausspähen und die Manipulation durch die Software erreichbarer und weiterer kritischer Daten möglich. Eine der Schwachstellen erfordert zur Ausnutzung erweiterte Privilegien in der Java Advanced Management Console, eine weitere Schwachstelle erfordert lokalen Zugriff auf ein betroffenes System. Zusätzlich werden bereits bekannte Schwachstellen in LittleCMS und zlib behoben. Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es steht eine aktuelle Version von Java SE 9 (Version 9.0.1), Java SE 8 und Java SE Embedded 8 (Version 8u151) zum Download zur Verfügung. Oracle weist darauf hin, dass Oracle JDK 8 das letzte dedizierte Oracle Java SE Embedded Produkt ist und veröffentlicht dazu einen Blogeintrag (Referenz anbei). Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Die Java Advanced Management Console wird auf Version 2.8 aktualisiert, um die jeweiligen Schwachstellen zu beheben.

  1. Download von Java Updates

  2. Schwachstelle CVE-2016-9840 (NVD)

  3. Schwachstelle CVE-2016-9841 (NVD)

  4. Schwachstelle CVE-2016-9842 (NVD)

  5. Schwachstelle CVE-2016-9843 (NVD)

  6. Schwachstelle CVE-2016-10165 (NVD)

  7. Oracle Critical Patch Update Advisory Oktober 2017 - CPUOct2017

  8. Oracle Critical Patch Update Advisory Oktober 2017 - CPUOct2017 (Oracle Java)

  9. Oracle Blog: Convergence Of Oracle Java SE Embedded With Oracle JDK

  10. Oracle Java CPUOct2017 Risk Matrix

  11. Schwachstelle CVE-2017-10274 (NVD)

  12. Schwachstelle CVE-2017-10281 (NVD)

  13. Schwachstelle CVE-2017-10285 (NVD)

  14. Schwachstelle CVE-2017-10293 (NVD)

  15. Schwachstelle CVE-2017-10295 (NVD)

  16. Schwachstelle CVE-2017-10309 (NVD)

  17. Schwachstelle CVE-2017-10341 (NVD)

  18. Schwachstelle CVE-2017-10342 (NVD)

  19. Schwachstelle CVE-2017-10345 (NVD)

  20. Schwachstelle CVE-2017-10346 (NVD)

  21. Schwachstelle CVE-2017-10347 (NVD)

  22. Schwachstelle CVE-2017-10348 (NVD)

  23. Schwachstelle CVE-2017-10349 (NVD)

  24. Schwachstelle CVE-2017-10350 (NVD)

  25. Schwachstelle CVE-2017-10355 (NVD)

  26. Schwachstelle CVE-2017-10356 (NVD)

  27. Schwachstelle CVE-2017-10357 (NVD)

  28. Schwachstelle CVE-2017-10380 (NVD)

  29. Schwachstelle CVE-2017-10386 (NVD)

  30. Schwachstelle CVE-2017-10388 (NVD)

  31. Red Hat Security Advisory RHSA-2017:2998

  32. Oracle Linux Security Advisory ELSA-2017-2998

  33. Red Hat Security Advisory RHSA-2017:2999

  34. Red Hat Security Advisory RHSA-2017:3046

  35. Red Hat Security Advisory RHSA-2017:3047

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.