摘要:
openjdk-11 security update
安全等级: High
公告ID: KylinSec-SA-2024-3669
发布日期: 2024年7月26日
关联CVE: CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147
OpenJDK 运行时环境。
安全修复:
Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 产品中的 Oracle Java SE(组件:Hotspot)存在漏洞。受影响的支持版本包括 Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14 和 21.3.10。此漏洞难以被利用,但允许未经身份验证的攻击者通过网络访问多个协议来攻击 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition。成功利用此漏洞可能会导致对 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 可访问数据的未授权更新、插入或删除访问。注意:此漏洞可以通过使用指定组件中的 API 来利用,例如通过向 API 提供数据的 Web 服务。此漏洞也适用于 Java 部署,通常在客户端运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序,这些部署加载和运行不受信任的代码(例如,来自互联网的代码),并依赖 Java 沙盒提供安全性。CVSS 3.1 基本分数 3.7(完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21131)
Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 产品中的 Oracle Java SE(组件:Hotspot)存在漏洞。受影响的支持版本同上。此漏洞难以被利用,但允许未经身份验证的攻击者通过网络访问多个协议来攻击 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition。成功利用此漏洞可能会导致 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 的部分拒绝服务(部分 DOS)。注意同上。CVSS 3.1 基本分数 3.7(可用性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21138)
Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 产品中的 Oracle Java SE(组件:Hotspot)存在漏洞。受影响的支持版本同上。此漏洞难以被利用,但允许未经身份验证的攻击者通过网络访问多个协议来攻击 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition。成功利用此漏洞可能会导致对 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 可访问数据的未授权更新、插入或删除访问,以及对部分数据的未授权读取访问。注意同上。CVSS 3.1 基本分数 4.8(机密性和完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21140)
Oracle Java SE、Oracle Java SE 的 Oracle GraalVM Enterprise Edition 产品(组件:并发性)中的漏洞。受影响的支持版本包括 Oracle Java SE:8u411、8u411-perf、11.0.23;Oracle GraalVM Enterprise Edition:20.3.14 和 21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多个协议进行网络访问,从而破坏 Oracle Java SE 和 Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,对 Oracle Java SE 和 Oracle GraalVM Enterprise Edition 进行部分拒绝服务(部分 DOS)。注意:此漏洞适用于 Java 部署,通常是在客户端运行沙箱化的 Java Web Start 应用程序或沙箱化的 Java 小程序,这些应用程序加载和运行不受信任的代码(例如,来自互联网的代码),并依赖于 Java 沙箱进行安全保护。此漏洞不适用于 Java 部署,这些部署通常在服务器上,仅加载和运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1 基础评分 3.7(可用性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21144)
Oracle Java SE、Oracle Java SE 的 Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 产品(组件:2D)中的漏洞。受影响的支持版本包括 Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14 和 21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多个协议进行网络访问,从而破坏 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 可访问数据中的某些数据进行未经授权的更新、插入或删除访问,以及对 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 可访问数据的一个子集进行未经授权的读取访问。注意:可以通过使用指定组件中的 API(例如,通过向 API 提供数据的 Web 服务)来利用此漏洞。此漏洞也适用于 Java 部署,这些部署通常在客户端运行沙箱化的 Java Web Start 应用程序或沙箱化的 Java 小程序,这些应用程序加载和运行不受信任的代码(例如,来自互联网的代码),并依赖于 Java 沙箱进行安全保护。CVSS 3.1 基础评分 4.8(机密性和完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21145)
Oracle Java SE、Oracle Java SE 的 Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 产品(组件:Hotspot)中的漏洞。受影响的支持版本包括 Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14 和 21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多个协议进行网络访问,从而破坏 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 可访问数据中的关键数据或所有数据进行未经授权的创建、删除或修改访问,以及对 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 可访问数据中的关键数据或所有数据进行未经授权的访问。注意:可以通过使用指定组件中的 API(例如,通过向 API 提供数据的 Web 服务)来利用此漏洞。此漏洞也适用于 Java 部署,这些部署通常在客户端运行沙箱化的 Java Web Start 应用程序或沙箱化的 Java 小程序,这些应用程序加载和运行不受信任的代码(例如,来自互联网的代码),并依赖于 Java 沙箱进行安全保护。CVSS 3.1 基础评分 7.4(机密性和完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。(CVE-2024-21147)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-21131 | KY3.4-5 | openjdk-11 | Fixed |
| CVE-2024-21138 | KY3.4-5 | openjdk-11 | Fixed |
| CVE-2024-21140 | KY3.4-5 | openjdk-11 | Fixed |
| CVE-2024-21144 | KY3.4-5 | openjdk-11 | Fixed |
| CVE-2024-21145 | KY3.4-5 | openjdk-11 | Fixed |
| CVE-2024-21147 | KY3.4-5 | openjdk-11 | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| java-11-openjdk | x86_64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-demo | x86_64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-devel | x86_64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-headless | x86_64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-javadoc | x86_64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-javadoc-zip | x86_64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-jmods | x86_64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-src | x86_64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk | aarch64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-demo | aarch64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-devel | aarch64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-headless | aarch64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-javadoc | aarch64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-javadoc-zip | aarch64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-jmods | aarch64 | 11.0.24.8-0.kb1.ky3_4 |
| java-11-openjdk-src | aarch64 | 11.0.24.8-0.kb1.ky3_4 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
