1. 漏洞描述

OpenJDK 运行时环境 8。

安全修复：

Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品（组件：Hotspot）中的漏洞。受影响的支持版本包括 Oracle Java SE: 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1；Oracle GraalVM for JDK: 17.0.11, 21.0.3, 22.0.1；Oracle GraalVM Enterprise Edition: 20.3.14 和 21.3.10。此漏洞难以利用，但允许通过多种协议进行网络访问的未经身份验证的攻击者危害 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能会导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问数据的未授权更新、插入或删除访问。注意：此漏洞可以通过使用指定组件中的 API 来利用，例如，通过向 API 提供数据的 Web 服务。此漏洞也适用于 Java 部署，通常是在运行沙箱 Java Web Start 应用程序或沙箱 Java 小程序的客户端中，这些应用程序或小程序加载并运行不受信任的代码（例如，来自互联网的代码），并依赖 Java 沙箱来保证安全性。CVSS 3.1 基础评分 3.7（完整性影响）。CVSS 向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21131)

Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品（组件：Hotspot）中的漏洞。受影响的支持版本同上。此漏洞难以利用，但允许通过多种协议进行网络访问的未经身份验证的攻击者危害 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能会导致 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 的部分拒绝服务（部分 DOS）。注意：此漏洞的利用方式与上述相同，也适用于类似的 Java 部署场景。CVSS 3.1 基础评分 3.7（可用性影响）。CVSS 向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21138)

Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品（组件：Hotspot）中的漏洞。受影响的支持版本同上。此漏洞难以利用，但允许通过多种协议进行网络访问的未经身份验证的攻击者危害 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能会导致对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问数据的未授权更新、插入或删除访问，以及对部分可访问数据的未授权读取访问。注意：此漏洞的利用方式与上述相同，也适用于类似的 Java 部署场景。CVSS 3.1 基础评分 4.8（机密性和完整性影响）。CVSS 向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21140)

以下是直接翻译，没有额外排版：

在Oracle Java SE的Oracle GraalVM Enterprise Edition产品（组件：并发性）中存在一个漏洞。受影响的支持版本包括Oracle Java SE：8u411、8u411-perf、11.0.23；Oracle GraalVM Enterprise Edition：20.3.14和21.3.10。该漏洞难以利用，允许未经身份验证的攻击者通过多个协议进行网络访问，从而危及Oracle Java SE和Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力，造成Oracle Java SE和Oracle GraalVM Enterprise Edition的部分拒绝服务（部分DOS）。注意：此漏洞适用于通常在运行沙箱Java Web Start应用程序或沙箱Java小程序的客户端中部署的Java，这些客户端加载并运行不受信任的代码（例如，来自互联网的代码），并依赖于Java沙箱进行安全保护。此漏洞不适用于通常在服务器上部署的Java，这些服务器仅加载并运行受信任的代码（例如，由管理员安装的代码）。CVSS 3.1基本分数为3.7（可用性影响）。CVSS向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21144)

在Oracle Java SE的Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品（组件：2D）中存在一个漏洞。受影响的支持版本包括Oracle Java SE：8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1；Oracle GraalVM for JDK：17.0.11、21.0.3、22.0.1；Oracle GraalVM Enterprise Edition：20.3.14和21.3.10。该漏洞难以利用，允许未经身份验证的攻击者通过多个协议进行网络访问，从而危及Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition可访问数据的未授权更新、插入或删除访问，以及对Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition可访问数据子集的未授权读取访问。注意：此漏洞可以通过使用指定组件中的API进行利用，例如通过向API提供数据的Web服务。此漏洞也适用于通常在运行沙箱Java Web Start应用程序或沙箱Java小程序的客户端中部署的Java，这些客户端加载并运行不受信任的代码（例如，来自互联网的代码），并依赖于Java沙箱进行安全保护。CVSS 3.1基本分数为4.8（机密性和完整性影响）。CVSS向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21145)

在Oracle Java SE的Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品（组件：Hotspot）中存在一个漏洞。受影响的支持版本包括Oracle Java SE：8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1；Oracle GraalVM for JDK：17.0.11、21.0.3、22.0.1；Oracle GraalVM Enterprise Edition：20.3.14和21.3.10。该漏洞难以利用，允许未经身份验证的攻击者通过多个协议进行网络访问，从而危及Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition可访问的关键数据或所有数据的未授权创建、删除或修改访问，以及对Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition可访问的关键数据或所有数据的未授权访问。注意：此漏洞可以通过使用指定组件中的API进行利用，例如通过向API提供数据的Web服务。此漏洞也适用于通常在运行沙箱Java Web Start应用程序或沙箱Java小程序的客户端中部署的Java，这些客户端加载并运行不受信任的代码（例如，来自互联网的代码），并依赖于Java沙箱进行安全保护。CVSS 3.1基本分数为7.4（机密性和完整性影响）。CVSS向量：(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。(CVE-2024-21147)

2. 影响范围

3. 影响组件

4. 修复版本

5. 修复方法

方法一：下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存，如 xxx.rpm
2、通过rpm命令升级，如 rpm -Uvh xxx.rpm

方法二：通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包，如 yum install 包名

6. 下载链接

V6:

x86_64:

     java-1.8.0-openjdk-javadoc   

     java-1.8.0-openjdk-javadoc-zip   

     java-1.8.0-openjdk   

     java-1.8.0-openjdk-accessibility   

     java-1.8.0-openjdk-demo   

     java-1.8.0-openjdk-devel   

     java-1.8.0-openjdk-headless   

     java-1.8.0-openjdk-openjfx   

     java-1.8.0-openjdk-openjfx-devel   

     java-1.8.0-openjdk-src   

aarch64:

     java-1.8.0-openjdk-javadoc   

     java-1.8.0-openjdk-javadoc-zip   

     java-1.8.0-openjdk   

     java-1.8.0-openjdk-accessibility   

     java-1.8.0-openjdk-demo   

     java-1.8.0-openjdk-devel   

     java-1.8.0-openjdk-headless   

     java-1.8.0-openjdk-openjfx   

     java-1.8.0-openjdk-openjfx-devel   

     java-1.8.0-openjdk-src   

KY3.5.2:

x86_64:

     java-1.8.0-openjdk-javadoc   

     java-1.8.0-openjdk-javadoc-zip   

     java-1.8.0-openjdk   

     java-1.8.0-openjdk-accessibility   

     java-1.8.0-openjdk-demo   

     java-1.8.0-openjdk-devel   

     java-1.8.0-openjdk-headless   

     java-1.8.0-openjdk-openjfx   

     java-1.8.0-openjdk-openjfx-devel   

     java-1.8.0-openjdk-src   

aarch64:

     java-1.8.0-openjdk-javadoc   

     java-1.8.0-openjdk-javadoc-zip   

     java-1.8.0-openjdk   

     java-1.8.0-openjdk-accessibility   

     java-1.8.0-openjdk-demo   

     java-1.8.0-openjdk-devel   

     java-1.8.0-openjdk-headless   

     java-1.8.0-openjdk-openjfx   

     java-1.8.0-openjdk-openjfx-devel   

     java-1.8.0-openjdk-src