Mehrere OpenJDK-Schwachstellen behoben
Kürzlich wurden mehrere Schwachstellen in der OpenJDK-Java-Laufzeitumgebung entdeckt, die zu Seitenkanalangriffen, zum Abfluss sensibler Daten in Protokolldateien, zur Dienstverweigerung oder zur Umgehung von Sandbox-Einschränkungen führen können. Zu den betroffenen Versionen gehören 21.0.1, 17.0.9, 11.0.21, 8u392 und frühere Versionen.
In diesem Artikel werden wir die Details dieser Schwachstellen untersuchen und ihre Auswirkungen auf die Java-Bereitstellungen verstehen.
OpenJDK-Schwachstellen mit hohem Schweregrad
CVE-2024-20918 (CVSS 3 Schweregrad: 7.4 Hoch)
Dieser Fehler ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugang über mehrere Protokolle, Oracle Java SE, Oracle GraalVM für JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Eine erfolgreiche Ausnutzung könnte zu einem nicht autorisierten Zugriff auf kritische Daten führen und die Möglichkeit bieten, Daten zu ändern oder zu löschen. Diese Schwachstelle kann über APIs in den genannten Komponenten ausgenutzt werden, z. B. über Webdienste, und betrifft Java-Bereitstellungen, insbesondere in Sandbox-Umgebungen, in denen nicht vertrauenswürdiger Code aus dem Internet ausgeführt wird.
CVE-2024-20926 (CVSS 3 Schweregrad: 5.9 Mittel)
Diese OpenJDK-Schwachstelle ermöglicht netzwerkbasierten Angreifern auch den Zugriff auf Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM Enterprise Edition, wodurch ein nicht autorisierter Datenzugriff möglich ist. Sie nutzt APIs wie Webdienste aus und wirkt sich auf Java-Bereitstellungen aus, insbesondere in Sandbox-Umgebungen, in denen nicht vertrauenswürdiger Internetcode ausgeführt wird und die sich auf die Java-Sandbox als Sicherheitsmaßnahme verlassen.
CVE-2024-20932 (CVSS 3 Schweregrad: 7.5 Hoch)
Diese Sicherheitslücke, die über mehrere Protokolle leicht ausgenutzt werden kann, ermöglicht es nicht authentifizierten Angreifern, Oracle Java SE, Oracle GraalVM für JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Eine Ausnutzung kann zu unberechtigtem Zugriff auf kritische Daten und unberechtigten Änderungen führen. Es betrifft Java-Implementierungen, insbesondere in Sandbox-Umgebungen wie Java Web Start-Anwendungen oder Java-Applets, die nicht vertrauenswürdigen Code ausführen. Java-Implementierungen, die auf die Ausführung von vertrauenswürdigem Code beschränkt sind, wie z. B. auf Servern, sind davon nicht betroffen.
CVE-2024-20952 (CVSS 3 Schweregrad: 7.4 Hoch)
Diese schwer auszunutzende Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugang über mehrere Protokolle, Oracle Java SE, Oracle GraalVM für JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Dies kann zu unbefugtem Zugriff, Erstellung, Löschung oder Änderung wichtiger Daten führen. Betroffen sind vor allem Java-Bereitstellungen auf Clients, auf denen Java-Web-Start-Anwendungen mit Sandbox laufen oder Applets, die nicht vertrauenswürdigen Code laden. Java-Implementierungen auf Servern, auf denen nur vertrauenswürdiger Code ausgeführt wird, sind davon nicht betroffen.
OpenJDK-Schwachstellen mittleren Schweregrades
CVE-2024-20919 (CVSS 3 Schweregrad: 5.9 Mittel)
Diese Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugang, Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Die Ausnutzung dieser Schwachstelle kann zu einem nicht autorisierten Datenzugriff oder zur vollständigen Kontrolle über die betroffenen Systeme führen. Dieses Risiko erstreckt sich auf Java-Bereitstellungen, insbesondere in Sandbox-Umgebungen, in denen nicht vertrauenswürdiger Code ausgeführt wird.
CVE-2024-20921 (CVSS 3 Schweregrad: 5.9 Mittel)
Sie ermöglicht es nicht authentifizierten Angreifern, Oracle Java SE, Oracle GraalVM für JDK und Oracle GraalVM Enterprise Edition zu kompromittieren und so möglicherweise unberechtigten Zugriff auf kritische Daten zu erhalten. Die Schwachstelle kann über APIs ausgenutzt werden und betrifft Java-Bereitstellungen, insbesondere in Sandbox-Umgebungen, in denen nicht vertrauenswürdiger, aus dem Internet stammender Code ausgeführt wird.
CVE-2024-20945 (CVSS 3 Schweregrad: 4.7 Mittel)
Diese schwer auszunutzende Schwachstelle ermöglicht es einem Angreifer mit niedrigen Privilegien und Zugang zur Infrastruktur, Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Eine erfolgreiche Ausnutzung kann zu einem nicht autorisierten Zugriff auf kritische Daten oder zu einem vollständigen Datenzugriff führen. Die Schwachstelle kann über APIs innerhalb der Komponente ausgenutzt werden, z. B. über einen Webdienst, der Daten liefert. Diese Schwachstelle betrifft auch Java-Bereitstellungen, insbesondere in Sandbox-Umgebungen wie Java Web Start-Anwendungen oder Java-Applets, die nicht vertrauenswürdigen Code ausführen.
Schlussfolgerung
Die OpenJDK-Sicherheitsgruppe hat diese Schwachstellen in den neuen Versionen behoben. Es wird empfohlen, die bestehenden Installationen so bald wie möglich zu aktualisieren. Das Debian-Sicherheitsteam hat auch Patches für diese OpenJDK-Verwundbarkeiten herausgegeben, die sie in den Paketen openjdk-11 und openjdk-17 beheben. Es wird empfohlen, Ihre openjdk-11- und openjdk-17-Pakete in Debian zu aktualisieren, um die damit verbundenen Risiken zu verringern.
Um das Sicherheitspatching auf Ihren Linux-Systemen zu automatisieren, können Sie die Live-Patching-Lösung KernelCare Enterprise von TuxCare einsetzen. Sie stellt alle kritischen Updates für einen laufenden Kernel bereit, ohne das System neu starten zu müssen. Erfahren Sie mehr über Live-Patching und wie es hilft, Schwachstellen im Linux-Kernel zu entschärfen.
Quellen: OpenJDK Vulnerability Advisory, National Vulnerability Database.