摘要:
openjdk-11 security update
安全等级: High
公告ID: KylinSec-SA-2024-3226
发布日期: 2024年7月26日
关联CVE: CVE-2024-21138 CVE-2024-21131 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147
OpenJDK运行时环境。
安全修复:
Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞(组件:热点)。受影响的支持版本为Oracle Java SE:8u411、8u411 perf、11.0.23、17.0.11、21.0.3、22.0.1;JDK版Oracle GraalVM:17.0.11、21.0.3、22.0.1;Oracle GraalVM企业版:20.3.14和21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致未经授权更新、插入或删除对某些Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的访问。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基础分数3.7(完整性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21131)
Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞(组件:热点)。受影响的支持版本为Oracle Java SE:8u411、8u411 perf、11.0.23、17.0.11、21.0.3、22.0.1;JDK版Oracle GraalVM:17.0.11、21.0.3、22.0.1;Oracle GraalVM企业版:20.3.14和21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能会导致未经授权的能力,从而导致Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基本得分3.7(可用性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21138)
Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞(组件:热点)。受影响的支持版本为Oracle Java SE:8u411、8u411 perf、11.0.23、17.0.11、21.0.3、22.0.1;JDK版Oracle GraalVM:17.0.11、21.0.3、22.0.1;Oracle GraalVM企业版:20.3.14和21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致对某些Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的未经授权的更新、插入或删除访问,以及对Oracle Java SE的子集、Oracle Graal-VM for JDK和Oracle Graal VMEnterprise Edition可访数据的未授权读取访问。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基本得分4.8(保密性和完整性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21140)
Oracle Java SE中的漏洞,Oracle Java SE的Oracle GraalVM企业版产品(组件:并发)。受影响的支持版本为Oracle Java SE:8u411、8u411 perf、11.0.23;Oracle GraalVM企业版:20.3.14和21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM Enterprise Edition。成功攻击此漏洞可能会导致未经授权的能力,从而导致Oracle Java SE、Oracle GraalVM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),以及注意:此漏洞适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如来自互联网的代码),并依赖Java沙盒来确保安全性。此漏洞不适用于仅加载和运行受信任代码(例如管理员安装的代码)的Java部署,通常在服务器中。CVSS 3.1基本得分3.7(可用性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21144)
Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞(组件:2D)。受影响的支持版本为Oracle Java SE:8u411、8u411 perf、11.0.23、17.0.11、21.0.3、22.0.1;JDK版Oracle GraalVM:17.0.11、21.0.3、22.0.1;Oracle GraalVM企业版:20.3.14和21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致对某些Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的未经授权的更新、插入或删除访问,以及对Oracle Java SE的子集、Oracle Graal-VM for JDK和Oracle Graal VMEnterprise Edition可访数据的未授权读取访问。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基本得分4.8(保密性和完整性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21145)
Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞(组件:热点)。受影响的支持版本为Oracle Java SE:8u411、8u411 perf、11.0.23、17.0.11、21.0.3、22.0.1;JDK版Oracle GraalVM:17.0.11、21.0.3、22.0.1;Oracle GraalVM企业版:20.3.14和21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致对关键数据或所有Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的未经授权的创建、删除或修改访问,以及对关键数据的未授权访问或对所有Oracle Java SE,Oracle Graal虚拟机for JDK、甲骨文Graal VM EnterpriseEdition可访问的数据的完全访问。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基础得分7.4(保密性和完整性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。(CVE-2024-21147)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-21138 | KY3.5.2 | openjdk-11 | Fixed |
| CVE-2024-21131 | KY3.5.2 | openjdk-11 | Fixed |
| CVE-2024-21140 | KY3.5.2 | openjdk-11 | Fixed |
| CVE-2024-21144 | KY3.5.2 | openjdk-11 | Fixed |
| CVE-2024-21145 | KY3.5.2 | openjdk-11 | Fixed |
| CVE-2024-21147 | KY3.5.2 | openjdk-11 | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| java-11-openjdk | x86_64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-demo | x86_64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-devel | x86_64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-headless | x86_64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-javadoc | x86_64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-javadoc-zip | x86_64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-jmods | x86_64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-src | x86_64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk | aarch64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-demo | aarch64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-devel | aarch64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-headless | aarch64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-javadoc | aarch64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-javadoc-zip | aarch64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-jmods | aarch64 | 11.0.24.8-0.ky3_5.kb1 |
| java-11-openjdk-src | aarch64 | 11.0.24.8-0.ky3_5.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
