ClickCease Mehrere OpenJDK-Schwachstellen behoben

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Mehrere OpenJDK-Schwachstellen behoben

Rohan Timalsina

27. Februar 2024. TuxCare-Expertenteam

Kürzlich wurden mehrere Schwachstellen in der OpenJDK-Java-Laufzeitumgebung entdeckt, die zu Seitenkanalangriffen, zum Abfluss sensibler Daten in Protokolldateien, zur Dienstverweigerung oder zur Umgehung von Sandbox-Einschränkungen führen können. Zu den betroffenen Versionen gehören 21.0.1, 17.0.9, 11.0.21, 8u392 und frühere Versionen.

In diesem Artikel werden wir die Details dieser Schwachstellen untersuchen und ihre Auswirkungen auf die Java-Bereitstellungen verstehen.

 

OpenJDK-Schwachstellen mit hohem Schweregrad

 

CVE-2024-20918 (CVSS 3 Schweregrad: 7.4 Hoch)

Dieser Fehler ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugang über mehrere Protokolle, Oracle Java SE, Oracle GraalVM für JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Eine erfolgreiche Ausnutzung könnte zu einem nicht autorisierten Zugriff auf kritische Daten führen und die Möglichkeit bieten, Daten zu ändern oder zu löschen. Diese Schwachstelle kann über APIs in den genannten Komponenten ausgenutzt werden, z. B. über Webdienste, und betrifft Java-Bereitstellungen, insbesondere in Sandbox-Umgebungen, in denen nicht vertrauenswürdiger Code aus dem Internet ausgeführt wird.

 

CVE-2024-20926 (CVSS 3 Schweregrad: 5.9 Mittel)

Diese OpenJDK-Schwachstelle ermöglicht netzwerkbasierten Angreifern auch den Zugriff auf Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM Enterprise Edition, wodurch ein nicht autorisierter Datenzugriff möglich ist. Sie nutzt APIs wie Webdienste aus und wirkt sich auf Java-Bereitstellungen aus, insbesondere in Sandbox-Umgebungen, in denen nicht vertrauenswürdiger Internetcode ausgeführt wird und die sich auf die Java-Sandbox als Sicherheitsmaßnahme verlassen.

 

CVE-2024-20932 (CVSS 3 Schweregrad: 7.5 Hoch)

Diese Sicherheitslücke, die über mehrere Protokolle leicht ausgenutzt werden kann, ermöglicht es nicht authentifizierten Angreifern, Oracle Java SE, Oracle GraalVM für JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Eine Ausnutzung kann zu unberechtigtem Zugriff auf kritische Daten und unberechtigten Änderungen führen. Es betrifft Java-Implementierungen, insbesondere in Sandbox-Umgebungen wie Java Web Start-Anwendungen oder Java-Applets, die nicht vertrauenswürdigen Code ausführen. Java-Implementierungen, die auf die Ausführung von vertrauenswürdigem Code beschränkt sind, wie z. B. auf Servern, sind davon nicht betroffen.

 

CVE-2024-20952 (CVSS 3 Schweregrad: 7.4 Hoch)

Diese schwer auszunutzende Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugang über mehrere Protokolle, Oracle Java SE, Oracle GraalVM für JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Dies kann zu unbefugtem Zugriff, Erstellung, Löschung oder Änderung wichtiger Daten führen. Betroffen sind vor allem Java-Bereitstellungen auf Clients, auf denen Java-Web-Start-Anwendungen mit Sandbox laufen oder Applets, die nicht vertrauenswürdigen Code laden. Java-Implementierungen auf Servern, auf denen nur vertrauenswürdiger Code ausgeführt wird, sind davon nicht betroffen.

 

OpenJDK-Schwachstellen mittleren Schweregrades

 

CVE-2024-20919 (CVSS 3 Schweregrad: 5.9 Mittel)

Diese Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugang, Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Die Ausnutzung dieser Schwachstelle kann zu einem nicht autorisierten Datenzugriff oder zur vollständigen Kontrolle über die betroffenen Systeme führen. Dieses Risiko erstreckt sich auf Java-Bereitstellungen, insbesondere in Sandbox-Umgebungen, in denen nicht vertrauenswürdiger Code ausgeführt wird.

 

CVE-2024-20921 (CVSS 3 Schweregrad: 5.9 Mittel)

Sie ermöglicht es nicht authentifizierten Angreifern, Oracle Java SE, Oracle GraalVM für JDK und Oracle GraalVM Enterprise Edition zu kompromittieren und so möglicherweise unberechtigten Zugriff auf kritische Daten zu erhalten. Die Schwachstelle kann über APIs ausgenutzt werden und betrifft Java-Bereitstellungen, insbesondere in Sandbox-Umgebungen, in denen nicht vertrauenswürdiger, aus dem Internet stammender Code ausgeführt wird.

 

CVE-2024-20945 (CVSS 3 Schweregrad: 4.7 Mittel)

Diese schwer auszunutzende Schwachstelle ermöglicht es einem Angreifer mit niedrigen Privilegien und Zugang zur Infrastruktur, Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM Enterprise Edition zu kompromittieren. Eine erfolgreiche Ausnutzung kann zu einem nicht autorisierten Zugriff auf kritische Daten oder zu einem vollständigen Datenzugriff führen. Die Schwachstelle kann über APIs innerhalb der Komponente ausgenutzt werden, z. B. über einen Webdienst, der Daten liefert. Diese Schwachstelle betrifft auch Java-Bereitstellungen, insbesondere in Sandbox-Umgebungen wie Java Web Start-Anwendungen oder Java-Applets, die nicht vertrauenswürdigen Code ausführen.

 

Schlussfolgerung

 

Die OpenJDK-Sicherheitsgruppe hat diese Schwachstellen in den neuen Versionen behoben. Es wird empfohlen, die bestehenden Installationen so bald wie möglich zu aktualisieren. TuxCare's SecureChain für Java bietet einen Zugang zu einem einzigen vertrauenswürdigen Repository von Java-Paketen und -Bibliotheken, die frei von Sicherheitslücken sind, um Ihre Anwendungen sicher zu machen.

Das Debian-Sicherheitsteam hat auch Patches für diese OpenJDK-Verwundbarkeiten veröffentlicht, die sie in den Paketen openjdk-11 und openjdk-17 beheben. Es wird empfohlen, Ihre openjdk-11- und openjdk-17-Pakete in Debian zu aktualisieren, um die damit verbundenen Risiken zu verringern. Um das Sicherheitspatching auf Ihren Linux-Servern zu automatisieren, können Sie die Live-Patching-Lösung KernelCare Enterprise von TuxCare nutzen. Sie stellt alle Sicherheitslücken-Patches bereit, ohne dass der Server neu gestartet werden muss. Erfahren Sie mehr über Live-Patching und wie es hilft, Schwachstellen zu verwalten.

 

Quellen: OpenJDK Vulnerability Advisory, National Vulnerability Database.

Zusammenfassung
Mehrere OpenJDK-Schwachstellen behoben
Artikel Name
Mehrere OpenJDK-Schwachstellen behoben
Beschreibung
Entdecken Sie die neuesten OpenJDK-Schwachstellen, die zu unbefugtem Zugriff führen können, und erfahren Sie, wie Sie Ihre Java-Implementierungen schützen können.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter