摘要:
openjdk-1.8.0 security update
安全等级: Medium
公告ID: KylinSec-SA-2024-4206
发布日期: 2024年11月15日
关联CVE: CVE-2024-21208 CVE-2024-21210 CVE-2024-21211 CVE-2024-21217 CVE-2024-21235
OpenJDK 运行环境 8。
安全修复:
在 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品中的 Oracle Java SE(组件:网络)中存在漏洞。受影响的版本包括 Oracle Java SE:8u421、8u421-perf、11.0.24、17.0.12、21.0.4、23;Oracle GraalVM for JDK:17.0.12、21.0.4、23;Oracle GraalVM Enterprise Edition:20.3.15 和 21.3.11。这是一个难以利用的漏洞,允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,导致 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 部分拒绝服务(部分 DOS)。请注意:此漏洞适用于通常在客户端运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的 Java 部署,这些部署加载并运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙箱进行安全保护。此漏洞不适用于通常在服务器上运行的 Java 部署,这些部署只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1 基础得分 3.7(可用性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21208)
在 Oracle Java SE(组件:Hotspot)中存在漏洞。受影响的版本包括 Oracle Java SE:8u421、8u421-perf、11.0.24、17.0.12、21.0.4 和 23。这是一个难以利用的漏洞,允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE。成功利用此漏洞可能导致未经授权的更新、插入或删除 Oracle Java SE 可访问数据的能力。请注意:此漏洞可以通过使用指定组件中的 API 来利用,例如,通过向 API 提供数据的 Web 服务。此漏洞也适用于通常在客户端运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的 Java 部署,这些部署加载并运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙箱进行安全保护。CVSS 3.1 基础得分 3.7(完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21210)
在 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品中的 Oracle Java SE(组件:编译器)中存在漏洞。受影响的版本包括 Oracle Java SE:23;Oracle GraalVM for JDK:17.0.12、21.0.4、23;Oracle GraalVM Enterprise Edition:20.3.15 和 21.3.11。这是一个难以利用的漏洞,允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问数据的能力。请注意:此漏洞可以通过使用指定组件中的 API 来利用,例如,通过向 API 提供数据的 Web 服务。此漏洞也适用于通常在客户端运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的 Java 部署,这些部署加载并运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙箱进行安全保护。CVSS 3.1 基础得分 3.7(完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21211)
在 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品中的 Oracle Java SE(组件:序列化)中存在漏洞。受影响的版本包括 Oracle Java SE:8u421、8u421-perf、11.0.24、17.0.12、21.0.4、23;Oracle GraalVM for JDK:17.0.12、21.0.4、23;Oracle GraalVM Enterprise Edition:20.3.15 和 21.3.11。这是一个难以利用的漏洞,允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,导致 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 部分拒绝服务(部分 DOS)。请注意:此漏洞可以通过使用指定组件中的 API 来利用,例如,通过向 API 提供数据的 Web 服务。此漏洞也适用于通常在客户端运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的 Java 部署,这些部署加载并运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙箱进行安全保护。CVSS 3.1 基础得分 3.7(可用性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21217)
在 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品中的 Oracle Java SE(组件:Hotspot)中存在漏洞。受影响的版本包括 Oracle Java SE:8u421、8u421-perf、11.0.24、17.0.12、21.0.4、23;Oracle GraalVM for JDK:17.0.12、21.0.4、23;Oracle GraalVM Enterprise Edition:20.3.15 和 21.3.11。这是一个难以利用的漏洞,允许未经身份验证的攻击者通过网络访问多个协议来破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问数据的能力,以及未经授权的读取 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可访问数据的子集。请注意:此漏洞可以通过使用指定组件中的 API 来利用,例如,通过向 API 提供数据的 Web 服务。此漏洞也适用于通常在客户端运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的 Java 部署,这些部署加载并运行不受信任的代码(例如,来自互联网的代码)并依赖 Java 沙箱进行安全保护。CVSS 3.1 基础得分 4.8(机密性和完整性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21235)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-21208 | KY3.5.2 | openjdk-1.8.0 | Fixed |
| CVE-2024-21210 | KY3.5.2 | openjdk-1.8.0 | Fixed |
| CVE-2024-21211 | KY3.5.2 | openjdk-1.8.0 | Fixed |
| CVE-2024-21217 | KY3.5.2 | openjdk-1.8.0 | Fixed |
| CVE-2024-21235 | KY3.5.2 | openjdk-1.8.0 | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| java-1.8.0-openjdk-javadoc | noarch | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-javadoc-zip | noarch | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk | x86_64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-accessibility | x86_64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-demo | x86_64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-devel | x86_64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-headless | x86_64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-openjfx | x86_64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-openjfx-devel | x86_64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-src | x86_64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk | aarch64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-accessibility | aarch64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-demo | aarch64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-devel | aarch64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-headless | aarch64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-openjfx | aarch64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-openjfx-devel | aarch64 | 1.8.0.432.b06-0.ky3_5.kb1 |
| java-1.8.0-openjdk-src | aarch64 | 1.8.0.432.b06-0.ky3_5.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
java-1.8.0-openjdk-javadoc-zip
java-1.8.0-openjdk-accessibility
java-1.8.0-openjdk-openjfx-devel
java-1.8.0-openjdk-javadoc-zip
java-1.8.0-openjdk-accessibility
