摘要:
openjdk-17 security update
安全等级: High
公告ID: KylinSec-SA-2024-3673
发布日期: 2024年8月9日
关联CVE: CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21145 CVE-2024-21147
OpenJDK 运行时环境的安全修复:
安全修复:
Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品中的漏洞(组件:Hotspot):受影响的支持版本包括:Oracle Java SE: 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1;Oracle GraalVM for JDK: 17.0.11, 21.0.3, 22.0.1;Oracle GraalVM Enterprise Edition: 20.3.14 和 21.3.10。难以利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而危及 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问数据的未授权更新、插入或删除访问。注意:此漏洞可通过使用指定组件中的 API 进行利用,例如,通过向 API 提供数据的网络服务。此漏洞也适用于 Java 部署,通常在运行沙箱化 Java Web Start 应用程序或沙箱化 Java 小程序的客户端中,这些客户端加载并运行不受信任的代码(例如,来自互联网的代码),并依赖 Java 沙箱进行安全保护。CVSS 3.1 基础评分:3.7(完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21131)
Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品中的漏洞(组件:Hotspot):受影响的支持版本同上。难以利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而危及 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 的部分拒绝服务(部分 DOS)。注意同上。CVSS 3.1 基础评分:3.7(可用性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21138)
Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品中的漏洞(组件:Hotspot):受影响的支持版本同上。难以利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而危及 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问数据的未授权更新、插入或删除访问,以及对部分数据的未授权读取访问。 注意同上。CVSS 3.1 基础评分:4.8(机密性和完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21140)
Oracle Java SE、Oracle GraalVM for JDK以及Oracle GraalVM Enterprise Edition产品的Oracle Java SE(组件:2D)中存在一个漏洞。受影响的支持版本包括Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14和21.3.10。这是一个难以利用的漏洞,允许未经身份验证的攻击者通过网络访问多个协议来攻击Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition可访问数据的一些未经授权的更新、插入或删除访问,以及对Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition可访问数据子集的未经授权读取访问。注意:此漏洞可以通过使用指定组件中的API来利用,例如,通过向API提供数据的Web服务。此漏洞也适用于通常在客户端运行的Java部署,这些客户端运行沙箱化的Java Web Start应用程序或沙箱化的Java小程序,它们加载并运行不受信任的代码(例如,来自互联网的代码),并依赖于Java沙箱来保证安全性。CVSS 3.1基本分数为4.8(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21145)
Oracle Java SE、Oracle GraalVM for JDK以及Oracle GraalVM Enterprise Edition产品的Oracle Java SE(组件:Hotspot)中存在另一个漏洞。受影响的支持版本同上。这也是一个难以利用的漏洞,允许未经身份验证的攻击者通过网络访问多个协议来攻击Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition可访问的关键数据或所有数据的未经授权的创建、删除或修改访问,以及对关键数据或所有数据的完全未经授权访问。注意:此漏洞的利用方式同上。CVSS 3.1基本分数为7.4(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。(CVE-2024-21147)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-21131 | KY3.5.2 | openjdk-17 | Fixed |
| CVE-2024-21131 | V6 | openjdk-17 | Fixed |
| CVE-2024-21138 | KY3.5.2 | openjdk-17 | Fixed |
| CVE-2024-21138 | V6 | openjdk-17 | Fixed |
| CVE-2024-21140 | KY3.5.2 | openjdk-17 | Fixed |
| CVE-2024-21140 | V6 | openjdk-17 | Fixed |
| CVE-2024-21145 | KY3.5.2 | openjdk-17 | Fixed |
| CVE-2024-21145 | V6 | openjdk-17 | Fixed |
| CVE-2024-21147 | KY3.5.2 | openjdk-17 | Fixed |
| CVE-2024-21147 | V6 | openjdk-17 | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| java-17-openjdk | x86_64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-demo | x86_64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-devel | x86_64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-headless | x86_64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-javadoc | x86_64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-javadoc-zip | x86_64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-jmods | x86_64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-src | x86_64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk | aarch64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-demo | aarch64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-devel | aarch64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-headless | aarch64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-javadoc | aarch64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-javadoc-zip | aarch64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-jmods | aarch64 | 17.0.13.11-2.ks6.kb1 |
| java-17-openjdk-src | aarch64 | 17.0.13.11-2.ks6.kb1 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| java-17-openjdk | x86_64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-demo | x86_64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-devel | x86_64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-headless | x86_64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-javadoc | x86_64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-javadoc-zip | x86_64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-jmods | x86_64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-src | x86_64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk | aarch64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-demo | aarch64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-devel | aarch64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-headless | aarch64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-javadoc | aarch64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-javadoc-zip | aarch64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-jmods | aarch64 | 17.0.12.7-0.ky3_5.kb1 |
| java-17-openjdk-src | aarch64 | 17.0.12.7-0.ky3_5.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
