1. 漏洞描述

OpenJDK 运行时环境。

安全修复：

Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品（组件：Hotspot）中的漏洞。受影响的支持版本包括 Oracle Java SE：8u391、8u391-perf、11.0.21、17.0.9、21.0.1；Oracle GraalVM for JDK：17.0.9、21.0.1；Oracle GraalVM Enterprise Edition：20.3.12、21.3.8 和 22.3.4。这是一个难以利用的漏洞，允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问的关键数据或所有数据的未授权创建、删除或修改访问权限，以及完全访问所有可访问的数据。注意：此漏洞可以通过使用指定组件中的 API 来利用，例如，通过向 API 提供数据的网络服务。此漏洞也适用于 Java 部署，通常在客户端运行沙箱化的 Java Web Start 应用程序或沙箱化的 Java 小程序，这些应用程序或小程序加载并运行不受信任的代码（例如，来自互联网的代码），并依赖于 Java 沙箱进行安全保护。CVSS 3.1 基础评分 7.4（机密性和完整性影响）。CVSS 向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。(CVE-2024-20918)

Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品（组件：Security）中的漏洞。受影响的支持版本包括 Oracle Java SE：17.0.9；Oracle GraalVM for JDK：17.0.9；Oracle GraalVM Enterprise Edition：21.3.8 和 22.3.4。这是一个容易利用的漏洞，允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问的关键数据或所有数据的未授权创建、删除或修改访问权限。注意：此漏洞适用于 Java 部署，通常在客户端运行沙箱化的 Java Web Start 应用程序或沙箱化的 Java 小程序，这些应用程序或小程序加载并运行不受信任的代码（例如，来自互联网的代码），并依赖于 Java 沙箱进行安全保护。此漏洞不适用于通常在服务器上运行的 Java 部署，这些部署仅加载和运行受信任的代码（例如，由管理员安装的代码）。CVSS 3.1 基础评分 7.5（完整性影响）。CVSS 向量：(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)。(CVE-2024-20932)

Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品（组件：Networking）中的漏洞。受影响的支持版本包括 Oracle Java SE：11.0.22、17.0.10、21.0.2、22；Oracle GraalVM for JDK：17.0.10、21.0.2、22；Oracle GraalVM Enterprise Edition：20.3.13 和 21.3.9。这是一个难以利用的漏洞，允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问的某些数据的未授权更新、插入或删除访问权限。注意：此漏洞适用于 Java 部署，通常在客户端运行沙箱化的 Java Web Start 应用程序或沙箱化的 Java 小程序，这些应用程序或小程序加载并运行不受信任的代码（例如，来自互联网的代码），并依赖于 Java 沙箱进行安全保护。此漏洞不适用于通常在服务器上运行的 Java 部署，这些部署仅加载和运行受信任的代码（例如，由管理员安装的代码）。CVSS 3.1 基础评分 3.7（完整性影响）。CVSS 向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21012)

Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品（组件：Hotspot）中的漏洞。受影响的支持版本包括 Oracle Java SE：8u401-perf、11.0.22、17.0.10、21.0.2、22；Oracle GraalVM for JDK：17.0.10、21.0.2 和 22；Oracle GraalVM Enterprise Edition：21.3.9。这是一个难以利用的漏洞，允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问的某些数据的未授权更新、插入或删除访问权限。注意：此漏洞可以通过使用指定组件中的 API 来利用，例如，通过向 API 提供数据的网络服务。此漏洞也适用于 Java 部署，通常在客户端运行沙箱化的 Java Web Start 应用程序或沙箱化的 Java 小程序，这些应用程序或小程序加载并运行不受信任的代码（例如，来自互联网的代码），并依赖于 Java 沙箱进行安全保护。CVSS 3.1 基础评分 3.7（完整性影响）。CVSS 向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21068)

2. 影响范围

3. 影响组件

4. 修复版本

5. 修复方法

方法一：下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存，如 xxx.rpm
2、通过rpm命令升级，如 rpm -Uvh xxx.rpm

方法二：通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包，如 yum install 包名

6. 下载链接

KY3.4-5A:

x86_64:

     java-17-openjdk-demo   

     java-17-openjdk-devel   

     java-17-openjdk-jmods   

     java-17-openjdk   

     java-17-openjdk-javadoc   

     java-17-openjdk-src   

     java-17-openjdk-javadoc-zip   

     java-17-openjdk-headless   

aarch64:

     java-17-openjdk-demo   

     java-17-openjdk-javadoc   

     java-17-openjdk-headless   

     java-17-openjdk-src   

     java-17-openjdk-jmods   

     java-17-openjdk   

     java-17-openjdk-javadoc-zip   

     java-17-openjdk-devel