Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0091 Update 3

Risikostufe 4

Titel:Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung der SoftwareDatum:19.01.2018Software:Java Advanced Management Console < 2.9, Oracle Java SE 6u171, Oracle Java SE 7u161, Oracle Java SE < 8u162, Oracle Java SE < 9.0.4, Oracle Java SE Embedded < 8u161, Oracle JRockit R28.3.16, OpenJDK 1.8.0Plattform:Apple macOS, GNU/Linux, HP-UX, Microsoft Windows , Oracle Linux 6, Oracle Linux 7, Oracle Solaris, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux 6 Server, Red Hat Enterprise Linux 6 Workstation, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7Auswirkung:Manipulation von DateienRemoteangriff:JaRisiko:hochCVE Liste:CVE-2018-2579, CVE-2018-2581, CVE-2018-2582, CVE-2018-2588, CVE-2018-2599, CVE-2018-2602, CVE-2018-2603, CVE-2018-2618, CVE-2018-2627, CVE-2018-2629, CVE-2018-2633, CVE-2018-2634, CVE-2018-2637, CVE-2018-2638, CVE-2018-2639, CVE-2018-2641, CVE-2018-2657, CVE-2018-2663, CVE-2018-2675, CVE-2018-2677, CVE-2018-2678Bezug: Oracle Critical Patch Update Advisory Januar 2018 - CPUJan2018 (Oracle Java SE)

Beschreibung

Die Advanced Management Console dient Administratoren zur unternehmensweiten Kontrolle und Verwaltung von installierten Java-Versionen und zugehörigen Sicherheitsupdates.

Die Java Platform Standard Edition (Java SE) ist eine plattformübergreifende Umgebung für Anwendungen, die auf vielen Geräten laufen sollen.

Oracle Java SE Embedded ist eine Version von Oracle, die speziell auf den Einsatz in Embedded-Systemen ausgelegt ist.

Die Oracle JRockit JVM (Java Virtual Machine) ist eine Java virtuelle Maschine, die Teil der Oracle Middleware ist.

OpenJDK (Java Development Kit) als OpenSource-Variante zum Oracle JDK bietet Entwicklern neben der Java-Laufzeitumgebung (Runtime Environment, JRE) weitere Tools für Entwicklung, Debugging und Monitoring.

Mehrere Schwachstellen in unterschiedlichen Komponenten von Oracle Java SE, Java SE Embedded, JRockit und der Java Advanced Management Console ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Kompromittierung der Software und, abhängig von den Rechten des aktiven Benutzers, möglicherweise auch die Kompromittierung des gesamten Systems. Darüber hinaus sind verschiedene Denial-of-Service (DoS)-Angriffe sowie das Ausspähen und die Manipulation von durch die Software erreichbarer und weiterer kritischer Daten möglich. Eine der Schwachstellen betrifft das Installationswerkzeug von Java SE auf Windows-Systemen, die Ausnutzung zweier weiterer Schwachstellen erfordert bestimmte Privilegien. Oracle empfiehlt Benutzern von Java SE, die unveränderten Versionen des Java-Plugins und von Java Web Start aus dem aktuellen Java SE Development Kit (JDK) oder Java SE Runtime Environment (JRE) zu verwenden. Es stehen aktuelle Versionen von Java SE 9 (Version 9.0.4), Java SE 8 (Version 8u162) und Java SE Embedded 8 (Version 8u161) zum Download zur Verfügung. Die Java Advanced Management Console wird auf Version 2.9 aktualisiert, um die entsprechende Schwachstelle zu beheben. Aktuelle Versionen von Java SE 6 nach April 2013, Java SE 7 nach April 2015 und JRockit sind nur noch auf Anfrage verfügbar. Oracle kündigt darüber hinaus das Ende der öffentlichen Updates für Oracle Java SE 8 für September 2018 an. Java SE 9.0.4 ist nach Aussage des Herstellers die letzte für diesen Versionszweig geplante Version.