1. 漏洞描述

OpenJDK运行时环境。

安全修复：

Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞（组件：热点）。受影响的支持版本是Oracle Java SE:8u401、8u401 perf、11.0.2,17.0.10,21.0.2,22；JDK版Oracle GraalVM:17.0.10、21.0.2、22；Oracle GraalVM企业版：20.3.13和21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络，从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能会导致未经授权的能力，从而导致Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition的部分拒绝服务（部分DOS）。注意：此漏洞可以通过在指定组件中使用API来利用，例如通过向API提供数据的web服务。此漏洞也适用于Java部署，通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中，这些客户端加载并运行不受信任的代码（例如，来自互联网的代码），并依赖Java沙盒来确保安全性。CVSS 3.1基本得分3.7（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L）。（CVE-2024-21011）

Oracle Java SE、用于JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞（组件：网络）。受影响的支持版本是Oracle Java SE:11.0.2,17.0.10,21.0.2,22；JDK版Oracle GraalVM:17.0.10、21.0.2、22；Oracle GraalVM企业版：20.3.13和21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络，从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致未经授权更新、插入或删除对某些Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的访问。注意：此漏洞适用于Java部署，通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中，这些客户端加载并运行不受信任的代码（例如来自互联网的代码），并依赖Java沙盒来确保安全性。此漏洞不适用于仅加载和运行受信任代码（例如管理员安装的代码）的Java部署，通常在服务器中。CVSS 3.1基础分数3.7（完整性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N）。（CVE-2024-21012）

Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞（组件：热点）。受影响的支持版本是Oracle Java SE:8u401 perf、11.0.2,17.0.10,21.0.2,22；JDK的Oracle GraalVM:17.0.10、21.0.2和22；Oracle GraalVM企业版：21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络，从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致未经授权更新、插入或删除对某些Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的访问。注意：此漏洞可以通过在指定组件中使用API来利用，例如通过向API提供数据的web服务。此漏洞也适用于Java部署，通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中，这些客户端加载并运行不受信任的代码（例如，来自互联网的代码），并依赖Java沙盒来确保安全性。CVSS 3.1基础分数3.7（完整性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N）。（CVE-2024-21068）

Oracle Java SE中的漏洞，Oracle Java SE的Oracle GraalVM企业版产品（组件：并发）。受影响的支持版本为Oracle Java SE:8u401、8u401 perf、11.0.22；Oracle GraalVM企业版：20.3.13和21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络，从而危害Oracle Java SE、Oracle GraalVM Enterprise Edition。成功攻击此漏洞可能会导致未经授权的能力，从而导致Oracle Java SE、Oracle GraalVM Enterprise Edition的部分拒绝服务（部分DOS）。注意：此漏洞可以通过在指定组件中使用API来利用，例如通过向API提供数据的web服务。此漏洞也适用于Java部署，通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中，这些客户端加载并运行不受信任的代码（例如，来自互联网的代码），并依赖Java沙盒来确保安全性。CVSS 3.1基本得分3.7（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L）。（CVE-2024-21085）

Oracle Java SE、JDK的Oracle GraalVM、Oracle Java SE的Oracle Graal VM企业版产品中的漏洞（组件：热点）。受影响的支持版本是Oracle Java SE:8u401、8u401 perf、11.0.2,17.0.10,21.0.2,22；JDK版Oracle GraalVM:17.0.10、21.0.2、22；Oracle GraalVM企业版：20.3.13和21.3.9。难以利用的漏洞允许未经身份验证的攻击者通过多种协议访问网络，从而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition。成功攻击此漏洞可能导致未经授权更新、插入或删除对某些Oracle Java SE、Oracle GraalVM for JDK、Oracle Graal VM Enterprise Edition可访问数据的访问。注意：此漏洞可以通过在指定组件中使用API来利用，例如通过向API提供数据的web服务。此漏洞也适用于Java部署，通常在运行沙盒Java Web Start应用程序或沙盒Java小程序的客户端中，这些客户端加载并运行不受信任的代码（例如，来自互联网的代码），并依赖Java沙盒来确保安全性。CVSS 3.1基础分数3.7（完整性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N）。（CVE-2024-21094）

2. 影响范围

3. 影响组件

4. 修复版本

5. 修复方法

方法一：下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存，如 xxx.rpm
2、通过rpm命令升级，如 rpm -Uvh xxx.rpm

方法二：通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包，如 yum install 包名

6. 下载链接

KY3.5.2:

x86_64:

     java-11-openjdk-demo   

     java-11-openjdk-jmods   

     java-11-openjdk-javadoc   

     java-11-openjdk-src   

     java-11-openjdk-javadoc-zip   

     java-11-openjdk   

     java-11-openjdk-devel   

     java-11-openjdk-headless   

aarch64:

     java-11-openjdk-jmods   

     java-11-openjdk   

     java-11-openjdk-headless   

     java-11-openjdk-javadoc-zip   

     java-11-openjdk-devel   

     java-11-openjdk-demo   

     java-11-openjdk-src   

     java-11-openjdk-javadoc