Noch kein Nutzer?
Anmelden Kostenlos registrieren Produkt vorschlagen
Der Hersteller Canonical hat sein devicebase Profil noch nicht eingerichtet. Inhalte wie Updates, Kompatibilitäten und Support werden unter Umständen nur verzögert gepflegt.
Update

USN-7096-1: OpenJDK 8 Sicherheitslücken

Ubuntu DesktopUbuntu Desktop
Canonical
Update von patrick-devicebaseUpdate von:
patrick-devicebase (Experte)

USN-7096-1: OpenJDK 8 Sicherheitslücken
11. November 2024

Mehrere Sicherheitsprobleme wurden in OpenJDK 8 behoben.

Veröffentlichungen

  • Ubuntu 24.10
  • Ubuntu 24.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 20.04 LTS

Pakete
openjdk-8 - Open-Source-Java-Implementierung

Details
Andy Boothe entdeckte, dass die Networking-Komponente von OpenJDK 8
unter bestimmten Umständen den Zugriff nicht richtig behandelt. Ein nicht-authentifizierter
Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial-of-Service auszulösen.
(CVE-2024-21208)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8 unter bestimmten Umständen nicht richtig
Vektorisierung unter bestimmten Umständen nicht richtig handhabt. Ein nicht-authentifizierter
Angreifer könnte dieses Problem möglicherweise ausnutzen, um auf unautorisierte Ressourcen
und sensible Informationen preisgeben. (CVE-2024-21210, CVE-2024-21235)

Es wurde entdeckt, dass die Serialisierungskomponente von OpenJDK 8
Deserialisierung unter bestimmten Umständen nicht richtig handhabt. Ein
nicht authentifizierter Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial-of-Service
eines Dienstes verursachen. (CVE-2024-21217)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8 bestimmte
bestimmte UTF-8-Strings nicht richtig einbindet, was zu einem Pufferüberlauf führen kann. Ein
Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial-of-Service oder
beliebigen Code auszuführen. Dieses Problem wurde nur in Ubuntu 16.04 LTS behoben.
(CVE-2024-21131)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8 dazu gebracht werden kann
in eine Endlosschleife zu bringen. Wenn ein automatisiertes System dazu verleitet wurde
übermäßig große Symbole zu verarbeiten, könnte ein Angreifer dieses Problem nutzen
Problem ausnutzen, um einen Denial-of-Service auszulösen. Dieses Problem wurde nur in Ubuntu
16.04 LTS BEHOBEN. (CVE-2024-21138)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8 nicht richtig
Bereichsprüfung nicht richtig durchführt. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen
Dienstverweigerung, die Ausführung von beliebigem Code oder die Umgehung von Java
Sandbox-Beschränkungen zu umgehen. Dieses Problem wurde nur in Ubuntu 16.04 LTS behoben.
(CVE-2024-21140)

Yakov Shafranovich entdeckte, dass die Concurrency-Komponente von OpenJDK 8
eine falsche Header-Validierung im Pack200-Archivformat durchführt. Ein
Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial-of-Service auszulösen. Dieses
Problem wurde nur in Ubuntu 16.04 LTS behoben. (CVE-2024-21144)

Sergey Bylokhov entdeckte, dass OpenJDK 8 den Speicher nicht richtig verwaltet
beim Umgang mit 2D-Bildern. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um
um sensible Informationen zu erhalten. Dieses Problem wurde nur in Ubuntu
16.04 LTS BEHOBEN. (CVE-2024-21145)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8
Speicher handhabte, als sie unter bestimmten Umständen die Eliminierung von Range Checks
Umständen. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen
Dienstverweigerung, die Ausführung von beliebigem Code oder die Umgehung von Java-Sandbox
Beschränkungen umgehen. Dieses Problem wurde nur in Ubuntu 16.04 LTS behoben.
(CVE-2024-21147)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8 bestimmte
bestimmte Ausnahmen mit speziell gestalteten langen Nachrichten behandelte. Ein
Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial-of-Service auszulösen.
Dieses Problem wurde nur in Ubuntu 16.04 LTS behoben. (CVE-2024-21011)

Vladimir Kondratyev entdeckte, dass die Hotspot-Komponente von OpenJDK 8
Adress-Offset-Berechnungen im C1-Compiler falsch behandelte. Ein
Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial of Service zu verursachen
oder willkürlichen Code ausführen. Dieses Problem wurde nur in Ubuntu
16.04 LTS BEHOBEN. (CVE-2024-21068)

Yakov Shafranovich entdeckte, dass OpenJDK 8 den Speicher im Pack200-Archivformat nicht richtig
Speicher im Pack200-Archivformat nicht richtig verwaltet. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen
Problem ausnutzen, um einen Denial-of-Service auszulösen. Dieses Problem wurde nur in Ubuntu
16.04 LTS BEHOBEN. (CVE-2024-21085)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8
Array-Zugriffe im C2-Compiler falsch behandelte. Ein Angreifer könnte dieses Problem möglicherweise nutzen
Angreifer könnte dieses Problem möglicherweise ausnutzen, um einen Denial-of-Service zu verursachen oder beliebigen Code auszuführen. Dieses
Problem wurde nur in Ubuntu 16.04 LTS behoben. (CVE-2024-21094)

Yi Yang entdeckte, dass die Hotspot-Komponente von OpenJDK 8
Array-Zugriffe im C1-Compiler falsch behandelte. Ein Angreifer könnte möglicherweise
Angreifer dieses Problem ausnutzen, um einen Denial-of-Service zu verursachen, beliebigen Code auszuführen oder
Java-Sandbox-Beschränkungen zu umgehen. Dieses Problem wurde nur in Ubuntu
16.04 LTS BEHOBEN. (CVE-2024-20918)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8
Bytecode in bestimmten Situationen nicht richtig verifiziert. Ein Angreifer könnte
dieses Problem ausnutzen, um Java-Sandbox-Beschränkungen zu umgehen. Dieses
Problem wurde nur in Ubuntu 16.04 LTS behoben. (CVE-2024-20919)

Es wurde entdeckt, dass die Hotspot-Komponente von OpenJDK 8 einen
Optimierungsfehler bei der Generierung von Range-Check-Schleifenprädikaten aufweist. Ein Angreifer
Angreifer könnte dieses Problem ausnutzen, um einen Denial-of-Service zu verursachen, beliebigen Code auszuführen
beliebigen Code auszuführen oder Java-Sandbox-Beschränkungen zu umgehen. Dieses Problem wurde nur
in Ubuntu 16.04 LTS behoben. (CVE-2024-20921)

Valentin Eudeline entdeckte, dass OpenJDK 8 bestimmte
Optionen in der Nashorn-JavaScript-Unterkomponente behandelte. Ein Angreifer könnte
Angreifer könnte dieses Problem möglicherweise zur Ausführung von beliebigem Code nutzen. Dieses Problem wurde nur
in Ubuntu 16.04 LTS behoben. (CVE-2024-20926)

Es wurde entdeckt, dass OpenJDK 8 Debug-Protokolle erzeugen konnte, die
private Schlüssel enthielten, die für digitale Signaturen verwendet wurden. Ein Angreifer könnte dieses Problem möglicherweise nutzen
Angreifer dieses Problem nutzen, um sensible Informationen zu erhalten. Dieses Problem wurde nur in
in Ubuntu 16.04 LTS behoben. (CVE-2024-20945)

Hubert Kario entdeckte, dass die TLS-Implementierung in OpenJDK 8 einen
Timing-Seitenkanal hatte und RSA-Padding falsch behandelte. Ein entfernter Angreifer
könnte dieses Problem möglicherweise ausnutzen, um sensible Informationen zu erlangen. Dieses
Problem wurde nur in Ubuntu 16.04 LTS behoben. (CVE-2024-20952)

Anweisungen zur Aktualisierung
Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:

Ubuntu 24.10

  • openjdk-8-jdk - 8u432-ga~us1-0ubuntu2~24.10
  • openjdk-8-jdk-headless - 8u432-ga~us1-0ubuntu2~24.10
  • openjdk-8-jre - 8u432-ga~us1-0ubuntu2~24.10
  • openjdk-8-jre-headless - 8u432-ga~us1-0ubuntu2~24.10
  • openjdk-8-jre-zero - 8u432-ga~us1-0ubuntu2~24.10

Ubuntu 24.04

  • openjdk-8-jdk - 8u432-ga~us1-0ubuntu2~24.04
  • openjdk-8-jdk-headless - 8u432-ga~us1-0ubuntu2~24.04
  • openjdk-8-jre - 8u432-ga~us1-0ubuntu2~24.04
  • openjdk-8-jre-headless - 8u432-ga~us1-0ubuntu2~24.04
  • openjdk-8-jre-zero - 8u432-ga~us1-0ubuntu2~24.04
Weitere UpdatesZum Produkt
Erhalten Sie wichtige Update-Nachrichten Bleiben Sie auf dem Laufenden für kommende Canonical Ubuntu Desktop Updates

Waren die Inhalte für Sie hilfreich?

Anzeige Hier werben?
Udemy IT certification ad