Kurzinfo CB-K18/0091 Update 10

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Oracle Java SE, OpenJDK, IBM Java: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung der Software
Datum: 07.03.2018
Software: IBM Java 1.6.0, IBM Java 1.6.1, IBM Java 1.7.0, IBM Java 1.7.1, IBM Java 1.8.0, IBM Java SDK < 6.0.16.60 Technology, IBM Java SDK < 6.1.8.60 Technology, IBM Java SDK < 7.0.10.20 Technology, IBM Java SDK < 7.1.4.20 Technology, IBM Java SDK < 8.0.5.10 Technology, Java Advanced Management Console < 2.9, Oracle Java SE 6u171, Oracle Java SE < 6u181, Oracle Java SE 7u161, Oracle Java SE < 7u171, Oracle Java SE < 8u162, Oracle Java SE < 9.0.4, Oracle Java SE Embedded < 8u161, Oracle JRockit R28.3.16, OpenJDK 1.7.0, OpenJDK 1.8.0, OpenJDK < 9.0.4+11
Plattform: SUSE Linux Enterprise Software Development Kit 11 SP4, Apple macOS, GNU/Linux, HP-UX, Microsoft Windows , SUSE Linux Enterprise Server 11 SP4, Oracle Linux 6, Oracle Linux 7, Oracle Solaris, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux 6 Server, Red Hat Enterprise Linux 6 Workstation, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Manipulation von Dateien
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2018-1417, CVE-2018-2579, CVE-2018-2581, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2627, CVE-2018-2629, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2638, CVE-2018-2639, CVE-2018-2641, CVE-2018-2657, CVE-2018-2663, CVE-2018-2675, CVE-2018-2677, CVE-2018-2678
Bezug: Oracle Critical Patch Update Advisory Januar 2018 - CPUJan2018 (Oracle Java SE)
Revisions Historie
  • Version: 11

    Für SUSE Linux Enterprise Software Development Kit 11 SP4 und SUSE Linux Enterprise Server 11 SP4 stehen Sicherheitsupdates für 'java-1_7_1-ibm' auf Version 7.1.4.20 bereit, um die betreffenden 15 der aufgeführten Schwachstellen zu beheben.

  • Version: 10

    Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und Scientific Computing Sicherheitsupdates auf die IBM Java SE 7 Version 7R1 SR4-FP20, um insgesamt 15 der aufgeführten Schwachstellen zu beheben.

  • Version: 9

    Für das Paket 'java-1.7.0-openjdk' stellen Oracle für Oracle Linux 6 (i386 und x86_64) und Oracle Linux 7 (x86_64) sowie Red Hat für die Produktvarianten Red Hat Enterprise Linux for ARM 64 7, for Scientific Computing 6 und 7 (x86_64), Desktop, Workstation und Server in den Versionen 7 (x86_64) und 6 (i386 und x86_64) sowie die Servervarianten AUS 7.4, EUS 7.4, 4 Year EUS 7.4 und TUS 7.4 Sicherheitsupdates bereit, welche die Schwachstellen CVE-2018-2579, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2629, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2641, CVE-2018-2663, CVE-2018-2677 und CVE-2018-2678 adressieren. Oracle und Red Hat stufen dieses Sicherheitsupdate als wichtig ein. Weiterhin stellt Red Hat für die Produktvarianten Red Hat Enterprise Linux for Scientific Computing 6 und 7 (x86_64), Desktop, Workstation und Server in den Versionen 6 (i386 und x86_64) und 7 (x86_64) Sicherheitsupdates für das Paket 'java-1.8.0-ibm' auf IBM Java SE 8 Version 8 SR5-FP10 bereit, welche die Schwachstellen CVE-2018-2579, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2638, CVE-2018-2639, CVE-2018-2641, CVE-2018-2663, CVE-2018-2677 und CVE-2018-2678 adressieren. Red Hat stuft dieses Sicherheitsupdate als kritisch ein.

  • Version: 8

    IBM informiert darüber, dass die mit dem Oracle January 2018 Critical Patch Update veröffentlichten Java SE Schwachstellen auch das IBM SDK, Java Technology Edition, in den Versionen 6, 6R1, 7, 7R1 und 8 betreffen, und stellt Version 6 Service Refresh 16 Fix Pack 60, Version 6R1 Service Refresh 8 Fix Pack 60, Version 7 Service Refresh 10 Fix Pack 20, Version 7R1 Service Refresh 4 Fix Pack 20 sowie die Version 8 Service Refresh 5 Fix Pack 10 als Sicherheitsupdates bereit, welche zusätzlich die Schwachstelle CVE-2018-1417 adressieren.

  • Version: 7

    Für Fedora 26 und 27 steht nun das Paket 'java-1.8.0-openjdk-1.8.0.161-0.b14.fc27' als Sicherheitsupdate im Status 'testing' zur Verfügung, mit dem OpenJDK auf Version 8u161 aktualisiert wird. Für Fedora 26 steht zusätzlich das aktuelle Paket 'java-9-openjdk-9.0.4.11-3.fc26' zur Verfügung, mit dem OpenJDK auf Version 9.0.4+11 aktualisiert wird.

  • Version: 6

    Für Fedora 27 steht das aktuelle Paket 'java-9-openjdk-9.0.4.11-3.fc27' als Sicherheitsupdate im Status 'testing' zur Verfügung, mit dem OpenJDK auf Version 9.0.4+11 aktualisiert und kleinere, mit dieser Version aufgetretene Probleme behoben werden.

  • Version: 5

    Für Red Hat Enterprise Linux (RHEL) 6 und 7 stehen Sicherheitsupdates für Oracle Java SE 6 auf Version 6 Update 181 für 'java-1.6.0-sun' bereit. Mit diesen Updates werden das Oracle Java Runtime Environment und das Oracle Java Software Development Kit ausgeliefert. Die Updates für Oracle Java (Restricted Maintenance) stehen für RHEL Server, Desktop (Client), Compute Node und Workstation 6 und 7 sowie für RHEL Server EUS 7.4 zur Verfügung.

  • Version: 4

    Für Red Hat Enterprise Linux (RHEL) 6 und 7 stehen Sicherheitsupdates für Oracle Java SE 7 auf Version 7 Update 171 und Oracle Java SE 8 auf Version 8 Update 161 bereit. Mit diesen Updates werden das Oracle Java Runtime Environment und das Oracle Java Software Development Kit ausgeliefert. Die Updates für Oracle Java (Restricted Maintenance) stehen für RHEL Server, Desktop (Client), Compute Node und Workstation 6 und 7 sowie für RHEL Server EUS 7.4 zur Verfügung.

  • Version: 3

    Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für OpenJDK 8 bereit.

  • Version: 2

    Red Hat stellt Sicherheitsupdates für Red Hat Enterprise Linux 6 und 7 in den Ausprägungen Desktop, Server und Workstation, Red Hat Enterprise Linux for Scientific Computing 6 und 7, Red Hat Enterprise Linux EUS Compute Node 7.4 sowie Red Hat Enterprise Linux Server 7.4 in den Versionen Advanced Update Support (AUS), Extented Update Support (EUS) und Telecom Update Support (TUS) in Form aktualisierter 'java-1.8.0-openjdk'-Pakete zur Verfügung. Diese beinhalten OpenJDK 8 Java Runtime Environment und the OpenJDK 8 Java Software Development Kit.

  • Version: 1

    Neues Advisory

Beschreibung

IBM Java ist eine von der Firma IBM gepflegte Version von Java basierend auf Oracle Java.

Das IBM Java SDK wird von IBM für die eigenen Betriebssysteme ( AIX, i5/OS, z/OS ) sowie für u.a. Linux angeboten und gepflegt. Die Java Version basiert auf Oracle Java.

Die Advanced Management Console dient Administratoren zur unternehmensweiten Kontrolle und Verwaltung von installierten Java-Versionen und zugehörigen Sicherheitsupdates.

Die Java Platform Standard Edition (Java SE) ist eine plattformübergreifende Umgebung für Anwendungen, die auf vielen Geräten laufen sollen.

Oracle Java SE Embedded ist eine Version von Oracle, die speziell auf den Einsatz in Embedded-Systemen ausgelegt ist.

Die Oracle JRockit JVM (Java Virtual Machine) ist eine Java virtuelle Maschine, die Teil der Oracle Middleware ist.

OpenJDK (Java Development Kit) als OpenSource-Variante zum Oracle JDK bietet Entwicklern neben der Java-Laufzeitumgebung (Runtime Environment, JRE) weitere Tools für Entwicklung, Debugging und Monitoring.

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded, JRockit und der Java Advanced Management Console ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Darüber hinaus sind verschiedene Denial-of-Service (DoS)-Angriffe sowie das Ausspähen und die Manipulation von durch die Software erreichbarer und weiterer kritischer Daten möglich. Eine der Schwachstellen betrifft das Installationswerkzeug von Java SE auf Windows-Systemen, die Ausnutzung zweier weiterer Schwachstellen erfordert bestimmte Privilegien. Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 9 (Version 9.0.4), Java SE 8 (Version 8u162) und Java SE Embedded 8 (Version 8u161) zum Download zur Verfügung. Die Java Advanced Management Console wird auf Version 2.9 aktualisiert, um die entsprechende Schwachstelle zu beheben. Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Oracle kündigt darüber hinaus das Ende der öffentlichen Updates für Oracle Java SE 8 für September 2018 an. Java SE 9.0.4 ist nach Aussage des Herstellers die letzte für diesen Versionszweig geplante Version.

  1. Oracle Critical Patch Update Advisory Januar 2018 - CPUJan2018 (Oracle Java SE)

  2. Oracle Java Advanced Management Console 2.9 Release Notes

  3. Oracle Java SE Development Kit 8, Update 162 (JDK 8u162) Release Notes

  4. Oracle Java SE Development Kit 9.0.4 (JDK 9.0.4) Release Notes

  5. Oracle Java SE Embedded 8u161 Release Notes

  6. Red Hat Security Advisory RHSA-2018:0095

  7. Oracle CPUJan2018 Risk Matrix - Oracle Java SE

  8. Schwachstelle CVE-2018-2579 (NVD)

  9. Schwachstelle CVE-2018-2581 (NVD)

  10. Schwachstelle CVE-2018-2582 (NVD)

  11. Schwachstelle CVE-2018-2588 (NVD)

  12. Schwachstelle CVE-2018-2599 (NVD)

  13. Schwachstelle CVE-2018-2602 (NVD)

  14. Schwachstelle CVE-2018-2603 (NVD)

  15. Schwachstelle CVE-2018-2618 (NVD)

  16. Schwachstelle CVE-2018-2627 (NVD)

  17. Schwachstelle CVE-2018-2629 (NVD)

  18. Schwachstelle CVE-2018-2633 (NVD)

  19. Schwachstelle CVE-2018-2634 (NVD)

  20. Schwachstelle CVE-2018-2637 (NVD)

  21. Schwachstelle CVE-2018-2638 (NVD)

  22. Schwachstelle CVE-2018-2639 (NVD)

  23. Schwachstelle CVE-2018-2641 (NVD)

  24. Schwachstelle CVE-2018-2657 (NVD)

  25. Schwachstelle CVE-2018-2663 (NVD)

  26. Schwachstelle CVE-2018-2675 (NVD)

  27. Schwachstelle CVE-2018-2677 (NVD)

  28. Schwachstelle CVE-2018-2678 (NVD)

  29. Oracle Linux Security Advisory ELSA-2018-0095

  30. Red Hat Security Advisory RHSA-2018:0099

  31. Red Hat Security Advisory RHSA-2018:0100

  32. Red Hat Security Advisory RHSA-2018:0115

  33. Fedora Security Update FEDORA-2018-e2e52fb0bf (Fedora 27, java-9-openjdk-9.0.4.11-3.fc27)

  34. Fedora Security Update FEDORA-2018-9e6e636c60 (Fedora 26, java-9-openjdk-9.0.4.11-3.fc26)

  35. Fedora Security Update FEDORA-2018-a82015aa02 (Fedora 27, java-1.8.0-openjdk-1.8.0.161-0.b14.fc27)

  36. Fedora Security Update FEDORA-2018-d50769efa0 (Fedora 26, java-1.8.0-openjdk-1.8.0.161-0.b14.fc26)

  37. IBM Security Bulletin 2012965

  38. IBM PSIRT Blog: Multiple vulnerabilities may affect IBM® SDK, Java™ Technology Edition

  39. Schwachstelle CVE-2018-1417 (NVD)

  40. Oracle Linux Security Advisory ELSA-2018-0349

  41. Red Hat Security Advisory RHSA-2018:0349

  42. Red Hat Security Advisory RHSA-2018:0351

  43. Red Hat Security Advisory RHSA-2018:0352

  44. Red Hat Security Advisory RHSA-2018:0458

  45. SUSE Security Update SUSE-SU-2018:0630-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.