• 公告ID (KylinSec-SA-2024-3521)

摘要:

openjdk-1.8.0 security update

安全等级: Low

公告ID: KylinSec-SA-2024-3521

发布日期: 2024年5月31日

关联CVE: CVE-2024-21011   CVE-2024-21068   CVE-2024-21085   CVE-2024-21094  

  • 详细介绍

1. 漏洞描述

   

OpenJDK运行时环境8。

安全修复:

Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞(组件:热点)。受影响的支持版本是Oracle Java SE:8u401、8u401 perf、11.0.2,17.0.10,21.0.2,22;JDK版Oracle GraalVM:17.0.10、21.0.2、22;Oracle GraalVM企业版:20.3.13和21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能会导致未经授权的能力,从而导致Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基本得分3.7(可用性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21011)

Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞(组件:热点)。受影响的支持版本是Oracle Java SE:8u401 perf、11.0.2,17.0.10,21.0.2,22;JDK的Oracle GraalVM:17.0.10、21.0.2和22;Oracle GraalVM企业版:21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致未经授权更新、插入或删除对某些Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的访问。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基础分数3.7(完整性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21068)

Oracle Java SE中的漏洞,Oracle Java SE的Oracle GraalVM企业版产品(组件:并发)。受影响的支持版本为Oracle Java SE:8u401、8u401 perf、11.0.22;Oracle GraalVM企业版:20.3.13和21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM Enterprise Edition。成功攻击此漏洞可能会导致未经授权的能力,从而导致Oracle Java SE、Oracle GraalVM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基本得分3.7(可用性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21085)

Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞(组件:热点)。受影响的支持版本是Oracle Java SE:8u401、8u401 perf、11.0.2,17.0.10,21.0.2,22;JDK版Oracle GraalVM:17.0.10、21.0.2、22;Oracle GraalVM企业版:20.3.13和21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络,从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致未经授权更新、插入或删除对某些Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的访问。注意:此漏洞可以通过在指定组件中使用API来利用,例如通过向API提供数据的web服务。此漏洞也适用于Java部署,通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙盒来确保安全性。CVSS 3.1基础分数3.7(完整性影响)。CVSS矢量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21094)

2. 影响范围

cve名称 产品 组件 是否受影响
CVE-2024-21011 KY3.5.2 openjdk-1.8.0 Fixed
CVE-2024-21011 KY3.5.2 openjdk-1.8.0 Unaffected
CVE-2024-21068 KY3.5.2 openjdk-1.8.0 Fixed
CVE-2024-21085 KY3.5.2 openjdk-1.8.0 Fixed
CVE-2024-21094 KY3.5.2 openjdk-1.8.0 Fixed
CVE-2024-21094 KY3.5.2 openjdk-1.8.0 Unaffected

3. 影响组件

    openjdk-1.8.0

4. 修复版本

   

KY3.5.2

软件名称 架构 版本号
java-1.8.0-openjdk-javadoc-zip noarch 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-javadoc noarch 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk x86_64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-accessibility x86_64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-src x86_64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-headless x86_64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-openjfx x86_64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-openjfx-devel x86_64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-devel x86_64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-demo x86_64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-devel aarch64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-headless aarch64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-accessibility aarch64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-openjfx-devel aarch64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk aarch64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-demo aarch64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-openjfx aarch64 1.8.0.412.b08-5.ky3_5.kb1
java-1.8.0-openjdk-src aarch64 1.8.0.412.b08-5.ky3_5.kb1

5. 修复方法


方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm

方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名

6. 下载链接

   

KY3.5.2:

x86_64:

     java-1.8.0-openjdk-javadoc-zip   

     java-1.8.0-openjdk-javadoc   

     java-1.8.0-openjdk   

     java-1.8.0-openjdk-accessibility   

     java-1.8.0-openjdk-src   

     java-1.8.0-openjdk-headless   

     java-1.8.0-openjdk-openjfx   

     java-1.8.0-openjdk-openjfx-devel   

     java-1.8.0-openjdk-devel   

     java-1.8.0-openjdk-demo   

aarch64:

     java-1.8.0-openjdk-javadoc-zip   

     java-1.8.0-openjdk-javadoc   

     java-1.8.0-openjdk-devel   

     java-1.8.0-openjdk-headless   

     java-1.8.0-openjdk-accessibility   

     java-1.8.0-openjdk-openjfx-devel   

     java-1.8.0-openjdk   

     java-1.8.0-openjdk-demo   

     java-1.8.0-openjdk-openjfx   

     java-1.8.0-openjdk-src   
上一篇:KylinSec-SA-2024-3520 下一篇:KylinSec-SA-2024-3522

产品中心

解决方案

技术支持

生态与合作

分支机构

全国统一服务热线

400-012-6606

微信公众号

Copyright © 湖南麒麟信安科技股份有限公司   版权所有   备案号:湘ICP备16010502号-1

技术支持:蒲公英长沙网站建设