#IT-Sicherheit: Linux, UNIX und Windows bedroht – IT-Sicherheitslücke im Rahmen Oracle Java SE mit hohem Risiko! Warnung erhält Update
Inhaltsverzeichnis
„IT-Sicherheit: Linux, UNIX und Windows bedroht – IT-Sicherheitslücke im Rahmen Oracle Java SE mit hohem Risiko! Warnung erhält Update“
Eine pro Oracle Java SE herausgegebene Sicherheitswarnung hat vom BSI ein Update erhalten. Eine Schilderung jener Sicherheitslücken inklusive jener neuesten Updates sowie Infos zu den betroffenen Betriebssystemen Linux, UNIX und Windows und Produkten Vorlesung halten Sie hier.
Dies Bundesamt pro Sicherheit in jener Informationstechnik (BSI) hat am 05.01.2025 ein Update zu einer am 15.10.2024 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen pro Oracle Java SE hrsg.. Betroffen von jener Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie die Produkte IBM Java, Debian Linux, IBM WebSphere Tafelgeschirr Registry and Repository, Amazon Linux 2, Open Source OpenJDK, Red Hat Enterprise Linux, IBM WebSphere Application Server, Ubuntu Linux, SUSE Linux, Oracle Linux, Gentoo Linux, SUSE openSUSE, Azul Zulu, Oracle Java SE, IBM QRadar SIEM, Hitachi Command Suite, Hitachi Ops Center, Hitachi Configuration Manager, Dell NetWorker, IBM App Connect Enterprise und IBM Sterling Connect:Direct.
Die neuesten Hersteller-Empfehlungen in Hinblick auf Updates, Workarounds und Sicherheitspatches pro jene Sicherheitslücke finden Sie hier: IBM Security Bulletin 7180215 (Stand: 03.01.2025). Weitere nützliche Quellen werden weiter unten in diesem Vorbehalt aufgeführt.
Mehrere Schwachstellen pro Oracle Java SE – Risiko: hoch
Risikostufe: 3 (hoch)
CVSS Kusine Score: 8,1
CVSS Zeitlich Score: 7,1
Remoteangriff: Ja
Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Fundament verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Jener Kusine Score bewertet die Voraussetzungen pro kombinieren Übergriff (u.a. Authentifizierung, Schwierigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen übrig die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Jener Schweregrad jener hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 8,1 wie „hoch“ eingestuft.
Oracle Java SE Programmierfehler: Auswirkungen im Rahmen Verwertung jener bekannten Schwachstellen
Die Java Platform, Standard Edition (SE) ist eine Sammlung von Java-APIs (JDK) und jener Java Spielzeit Umgebung (JRE).
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Java SE ausnutzen, um die Vertraulichkeit, Unversehrtheit und Verfügbarkeit zu gefährden.
Die Verwundbarkeit wird mit den eindeutigen CVE-Seriennummern (Common Vulnerabilities and Exposures) CVE-2023-42950, CVE-2024-21208, CVE-2024-21210, CVE-2024-21211, CVE-2024-21217, CVE-2024-21235, CVE-2024-25062 und CVE-2024-36138 gehandelt.
Von jener Sicherheitslücke betroffene Systeme im Zusammenfassung
Betriebssysteme
Linux, UNIX, Windows
Produkte
IBM Java (cpe:/a:ibm:jre)
Debian Linux (cpe:/o:debian:debian_linux)
IBM WebSphere Tafelgeschirr Registry and Repository 8.5 (cpe:/a:ibm:websphere_service_registry_and_repository)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Open Source OpenJDK (cpe:/a:oracle:openjdk)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
IBM WebSphere Application Server 8.5 (cpe:/a:ibm:websphere_application_server)
IBM WebSphere Application Server 9.0 (cpe:/a:ibm:websphere_application_server)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
IBM WebSphere Application Server liberty (cpe:/a:ibm:websphere_application_server)
Gentoo Linux (cpe:/o:gentoo:linux)
SUSE openSUSE (cpe:/o:suse:opensuse)
Azul Zulu (cpe:/a:azul:zulu)
Oracle Java SE Oracle GraalVM for JDK 17.0.12 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle GraalVM for JDK 21.0.4 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle GraalVM for JDK 23 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle Java SE 8u421 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle GraalVM Enterprise Edition 20.3.15 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle GraalVM Enterprise Edition 21.3.11 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle Java SE 11.0.24 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle Java SE 17.0.12 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle Java SE 23 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle Java SE 21.0.4 (cpe:/a:oracle:java_se)
Oracle Java SE Oracle GraalVM Enterprise Edition: 20.3.15 (cpe:/a:oracle:java_se)
IBM QRadar SIEM <7.5.0 UP10 IF01 (cpe:/a:ibm:qradar_siem)
IBM QRadar SIEM 7.5.0 UP10 IF01 (cpe:/a:ibm:qradar_siem)
Hitachi Command Suite (cpe:/a:hitachi:command_suite)
Hitachi Ops Center (cpe:/a:hitachi:ops_center)
Hitachi Configuration Manager (cpe:/a:hitachi:configuration_manager)
Dell NetWorker Runtime Environment <8.0.23 (cpe:/a:dell:networker)
Dell NetWorker Runtime Environment 8.0.23 (cpe:/a:dell:networker)
IBM App Connect Enterprise <13.0.2.0 (cpe:/a:ibm:app_connect_enterprise)
IBM App Connect Enterprise 13.0.2.0 (cpe:/a:ibm:app_connect_enterprise)
IBM App Connect Enterprise <12.0.12.9 (cpe:/a:ibm:app_connect_enterprise)
IBM App Connect Enterprise 12.0.12.9 (cpe:/a:ibm:app_connect_enterprise)
IBM Sterling Connect:Direct 6.3.0 (cpe:/a:ibm:sterling_connect%3adirect)
IBM Sterling Connect:Direct 6.4.0 (cpe:/a:ibm:sterling_connect%3adirect)
Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken
- Benutzer jener betroffenen Systeme sollten jene gen dem aktuellsten Stand halten. Hersteller sind im Rahmen Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Erschaffung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie jene zeitnah.
- Um Rat fragen Sie zu Informationszwecken die im nächsten Stückchen aufgeführten Quellen. Oftmals enthalten jene weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich im Rahmen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit jener von jener IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.
Quellen zu Updates, Patches und Workarounds
An dieser Stelle finden Sie weiterführende Sinister mit Informationen übrig Programmierfehler-Reports, Security-Fixes und Workarounds.
IBM Security Bulletin 7180215 vom 2025-01-03 (05.01.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7180215
Amazon Linux Security Advisory ALAS-2024-2720 vom 2024-12-20 (19.12.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2024-2720.html
SUSE Security Update SUSE-SU-2024:4306-1 vom 2024-12-12 (12.12.2024)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/[email protected]/message/MXBN2J5OLQHHEFQZKWDMPVG3S6TODMOZ/
IBM Security Bulletin 7178390 vom 2024-12-10 (10.12.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7178390
Red Hat Security Advisory RHSA-2024:10926 vom 2024-12-10 (10.12.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:10926
Gentoo Linux Security Advisory GLSA-202412-07 vom 2024-12-07 (08.12.2024)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202412-07
IBM Security Bulletin 7178094 vom 2024-12-06 (08.12.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7178094
SUSE Security Update SUSE-SU-2024:4252-1 vom 2024-12-06 (08.12.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-December/019963.html
IBM Security Bulletin 7177984 vom 2024-12-05 (05.12.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7177984
SUSE Security Update SUSE-SU-2024:4202-1 vom 2024-12-05 (05.12.2024)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/[email protected]/message/XPEHHO3XQ47QD6IA2ZDPCOMANOINIDBP/
IBM Security Bulletin 7177827 vom 2024-12-04 (04.12.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7177827
Dell Security Advisory DSA-2024-477 vom 2024-12-03 (02.12.2024)
Weitere Informationen finden Sie unter: https://www.dell.com/support/kbdoc/de-de/000255884/dsa-2024-477-security-update-for-dell-networker-runtime-environment-nre-multiple-component-vulnerabilities
Oracle Linux Security Advisory ELSA-2024-8120 vom 2024-11-28 (28.11.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-8120.html
Oracle Linux Security Advisory ELSA-2024-8116 vom 2024-11-28 (28.11.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-8116.html
Ubuntu Security Notice USN-7124-1 vom 2024-11-25 (24.11.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7124-1
SUSE Security Update SUSE-SU-2024:3987-1 vom 2024-11-13 (13.11.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-November/019817.html
SUSE Security Update SUSE-SU-2024:3963-1 vom 2024-11-11 (10.11.2024)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/[email protected]/thread/YF4VNHR3FWXUMWTELTEOVDEWZ6SVMYHZ/
SUSE Security Update SUSE-SU-2024:3963-1 vom 2024-11-11 (10.11.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-November/019804.html
Ubuntu Security Notice USN-7098-1 vom 2024-11-11 (10.11.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7098-1
Ubuntu Security Notice USN-7099-1 vom 2024-11-11 (10.11.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7099-1
Ubuntu Security Notice USN-7096-1 vom 2024-11-11 (10.11.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7096-1
Ubuntu Security Notice USN-7097-1 vom 2024-11-11 (10.11.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7097-1
openSUSE Security Update OPENSUSE-SU-2024:14465-1 vom 2024-11-07 (07.11.2024)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/[email protected]/message/XKGLVFB244SXCHDTKBD64C7SBDSC7V7W/
Hitachi Vulnerability Information HITACHI-SEC-2024-147 vom 2024-11-07 (06.11.2024)
Weitere Informationen finden Sie unter: https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-147/index.html
SUSE Security Update SUSE-SU-2024:3875-1 vom 2024-11-01 (03.11.2024)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/[email protected]/message/GLU5JTTGFTD7YI4RRECCJZQWTOZHUSNK/
openSUSE Security Update OPENSUSE-SU-2024:14448-1 vom 2024-11-02 (03.11.2024)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/[email protected]/message/KDGJD2OULS4GVLFGY4DZH6L7TX3XS7RK/
openSUSE Security Update OPENSUSE-SU-2024:14449-1 vom 2024-11-02 (03.11.2024)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/[email protected]/message/CYPS4PNCRNNFM3OYJLTXOMYVAPX5WDWV/
IBM Security Bulletin (31.10.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7174634
SUSE Security Update SUSE-SU-2024:3802-1 vom 2024-10-30 (30.10.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-October/019718.html
OpenJDK Vulnerability Advisory (28.10.2024)
Weitere Informationen finden Sie unter: https://openjdk.org/groups/vulnerability/advisories/2024-10-15
Debian Security Advisory DSA-5794 vom 2024-10-21 (21.10.2024)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2024/msg00208.html
Debian Security Advisory DLA-3927 vom 2024-10-21 (21.10.2024)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2024/10/msg00018.html
Debian Security Advisory DLA-3929 vom 2024-10-21 (21.10.2024)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2024/10/msg00020.html
Oracle Linux Security Advisory ELSA-2024-8124 vom 2024-10-18 (20.10.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-8124.html
Oracle Linux Security Advisory ELSA-2024-8117 vom 2024-10-18 (20.10.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-8117.html
Oracle Linux Security Advisory ELSA-2024-8127 vom 2024-10-18 (17.10.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-8127.html
Red Hat Security Advisory RHSA-2024:8117 vom 2024-10-17 (17.10.2024)
Weitere Informationen finden Sie unter: https://rhn.redhat.com/errata/RHSA-2024:8117.html
Red Hat Security Advisory RHSA-2024:8116 vom 2024-10-17 (17.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8116
Oracle Linux Security Advisory ELSA-2024-8121 vom 2024-10-18 (17.10.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-8121.html
Red Hat Security Advisory RHSA-2024:8126 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8126
Red Hat Security Advisory RHSA-2024:8123 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8123
Red Hat Security Advisory RHSA-2024:8127 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8127
Red Hat Security Advisory RHSA-2024:8125 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8125
Red Hat Security Advisory RHSA-2024:8129 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8129
Red Hat Security Advisory RHSA-2024:8128 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8128
Red Hat Security Advisory RHSA-2024:8118 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8118
Red Hat Security Advisory RHSA-2024:8124 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8124
Red Hat Security Advisory RHSA-2024:8119 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8119
Red Hat Security Advisory RHSA-2024:8122 vom 2024-10-16 (16.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8122
Red Hat Security Advisory RHSA-2024:8121 vom 2024-10-16 (15.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8121
Red Hat Security Advisory RHSA-2024:8120 vom 2024-10-16 (15.10.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:8120
Azul Zulu builds of OpenJDK vom 2024-10-15 (15.10.2024)
Weitere Informationen finden Sie unter: https://docs.azul.com/core/pdfs/october-2024/azul-zulu-ca-release-notes-october-2024-rev1.0.pdf
Oracle Critical Patch Update Advisory – October 2024 – Wurmfortsatz des Blinddarms Oracle Java SE vom 2024-10-15 (15.10.2024)
Weitere Informationen finden Sie unter: https://www.oracle.com/security-alerts/cpuoct2024.html#AppendixJAVA
Versionshistorie dieser Sicherheitswarnung
Dies ist die 23. Version des vorliegenden IT-Sicherheitshinweises pro Oracle Java SE. Zusammen mit Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Zuhilfenahme von jener folgenden Versionshistorie wiederholen.
15.10.2024 – Initiale Steckdose
16.10.2024 – Neue Updates von Red Hat aufgenommen
17.10.2024 – Neue Updates von Oracle Linux und Red Hat aufgenommen
20.10.2024 – Neue Updates von Oracle Linux aufgenommen
21.10.2024 – Neue Updates von Debian aufgenommen
28.10.2024 – Neue Updates aufgenommen
30.10.2024 – Neue Updates von SUSE aufgenommen
31.10.2024 – Neue Updates von IBM aufgenommen
03.11.2024 – Neue Updates von openSUSE und SUSE aufgenommen
06.11.2024 – Neue Updates von HITACHI aufgenommen
07.11.2024 – Neue Updates von openSUSE aufgenommen
10.11.2024 – Neue Updates von Ubuntu aufgenommen
13.11.2024 – Neue Updates von SUSE aufgenommen
24.11.2024 – Neue Updates von Ubuntu aufgenommen
28.11.2024 – Neue Updates von Oracle Linux aufgenommen
02.12.2024 – Neue Updates von Dell aufgenommen
04.12.2024 – Neue Updates von IBM aufgenommen
05.12.2024 – Neue Updates von SUSE und IBM aufgenommen
08.12.2024 – Neue Updates von SUSE, IBM und Gentoo aufgenommen
10.12.2024 – Neue Updates von Red Hat, IBM und IBM-APAR aufgenommen
12.12.2024 – Neue Updates von SUSE aufgenommen
19.12.2024 – Neue Updates von Amazon aufgenommen
05.01.2025 – Neue Updates von IBM aufgenommen
+++ Redaktioneller Index: Dieser Text wurde gen Fundament aktueller BSI-Information generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++
Nachsteigen Sie News.de schon im Rahmen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
kns/roj/news.de