摘要:
openjdk-latest security update
安全等级: High
公告ID: KylinSec-SA-2024-4390
发布日期: 2024年11月29日
关联CVE: CVE-2020-14556 CVE-2020-14562 CVE-2020-14573 CVE-2020-14577 CVE-2020-14578 CVE-2020-14581 CVE-2020-14593 CVE-2020-14621 CVE-2020-14664 CVE-2023-42950 CVE-2024-20918 CVE-2024-20919 CVE-2024-20921 CVE-2024-20922 CVE-2024-20923 CVE-2024-20925 CVE-2024-20926 CVE-2024-20932 CVE-2024-20945 CVE-2024-20952 CVE-2024-20955 CVE-2024-21002 CVE-2024-21003 CVE-2024-21004 CVE-2024-21005 CVE-2024-21011 CVE-2024-21012 CVE-2024-21068 CVE-2024-21085 CVE-2024-21094 CVE-2024-21131 CVE-2024-21138 CVE-2024-21140 CVE-2024-21144 CVE-2024-21145 CVE-2024-21147 CVE-2024-21208 CVE-2024-21210 CVE-2024-21211 CVE-2024-21217 CVE-2024-21235
OpenJDK运行时环境。
安全修复:
Java SE和Java SE Embedded产品中的Oracle Java SE(组件:Libraries)。受影响的支持版本包括Java SE:8u251、11.0.7和14.0.1;Java SE Embedded:8u251。难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Java SE、Java SE Embedded。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Java SE、Java SE Embedded的一些可访问数据,以及未经授权的读取访问Java SE、Java SE Embedded的子集可访问数据。注意:适用于Java的客户和服务器部署。此漏洞可以通过沙盒化的Java Web Start应用程序和沙盒化的Java小程序来利用。它也可以通过向指定组件的API提供数据来利用,而不需要使用沙盒化的Java Web Start应用程序或沙盒化的Java小程序,例如通过Web服务。CVSS 3.1基础分数4.8(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2020-14556)
Java SE产品中的Oracle Java SE(组件:ImageIO)。受影响的支持版本包括Java SE:11.0.7和14.0.1。容易利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Java SE。成功利用此漏洞可能导致未经授权的能力,导致Java SE的部分拒绝服务(部分DOS)。注意:此漏洞适用于Java部署,通常在客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常在服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数5.3(可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2020-14562)
Java SE产品中的Oracle Java SE(组件:Hotspot)。受影响的支持版本包括Java SE:11.0.7和14.0.1。难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Java SE。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Java SE的一些可访问数据。注意:适用于Java的客户和服务器部署。此漏洞可以通过沙盒化的Java Web Start应用程序和沙盒化的Java小程序来利用。它也可以通过向指定组件的API提供数据来利用,而不需要使用沙盒化的Java Web Start应用程序或沙盒化的Java小程序,例如通过Web服务。CVSS 3.1基础分数3.7(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2020-14573)
Java SE和Java SE Embedded产品中的Oracle Java SE(组件:JSSE)。受影响的支持版本包括Java SE:7u261、8u251、11.0.7和14.0.1;Java SE Embedded:8u251。难以利用的漏洞允许未经身份验证的攻击者通过网络访问TLS来破坏Java SE、Java SE Embedded。成功利用此漏洞可能导致未经授权的读取访问Java SE、Java SE Embedded的子集可访问数据。注意:适用于Java的客户和服务器部署。此漏洞可以通过沙盒化的Java Web Start应用程序和沙盒化的Java小程序来利用。它也可以通过向指定组件的API提供数据来利用,而不需要使用沙盒化的Java Web Start应用程序或沙盒化的Java小程序,例如通过Web服务。CVSS 3.1基础分数3.7(机密性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)。(CVE-2020-14577)
Java SE和Java SE Embedded产品中的Oracle Java SE(组件:Libraries)。受影响的支持版本包括Java SE:7u261和8u251;Java SE Embedded:8u251。难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Java SE、Java SE Embedded。成功利用此漏洞可能导致未经授权的能力,导致Java SE、Java SE Embedded的部分拒绝服务(部分DOS)。注意:适用于Java的客户和服务器部署。此漏洞可以通过沙盒化的Java Web Start应用程序和沙盒化的Java小程序来利用。它也可以通过向指定组件的API提供数据来利用,而不需要使用沙盒化的Java Web Start应用程序或沙盒化的Java小程序,例如通过Web服务。CVSS 3.1基础分数3.7(可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2020-14578)
Java SE和Java SE Embedded产品中的Oracle Java SE(组件:2D)。受影响的支持版本包括Java SE:8u251、11.0.7和14.0.1;Java SE Embedded:8u251。难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Java SE、Java SE Embedded。成功利用此漏洞可能导致未经授权的读取访问Java SE、Java SE Embedded的子集可访问数据。注意:适用于Java的客户和服务器部署。此漏洞可以通过沙盒化的Java Web Start应用程序和沙盒化的Java小程序来利用。它也可以通过向指定组件的API提供数据来利用,而不需要使用沙盒化的Java Web Start应用程序或沙盒化的Java小程序,例如通过Web服务。CVSS 3.1基础分数3.7(机密性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)。(CVE-2020-14581)
Java SE和Java SE Embedded产品中的Oracle Java SE(组件:2D)。受影响的支持版本包括Java SE:7u261、8u251、11.0.7和14.0.1;Java SE Embedded:8u251。容易利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Java SE、Java SE Embedded。成功攻击需要攻击者以外的人进行人为交互,虽然漏洞在Java SE、Java SE Embedded中,但攻击可能显著影响其他产品。成功利用此漏洞可能导致未经授权的创建、删除或修改关键数据或所有Java SE、Java SE Embedded可访问数据。注意:此漏洞适用于Java部署,通常在客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码),并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常在服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数7.4(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N)。(CVE-2020-14593)
Java SE和Java SE Embedded产品中的Oracle Java SE(组件:JAXP)。受影响的支持版本包括Java SE:7u261、8u251、11.0.7和14.0.1;Java SE Embedded:8u251。容易利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Java SE、Java SE Embedded。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Java SE、Java SE Embedded的一些可访问数据。注意:此漏洞只能通过向指定组件的API提供数据来利用,而不需要使用不受信任的Java Web Start应用程序或不受信任的Java小程序,例如通过Web服务。CVSS 3.1基础分数5.3(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2020-14621)
Oracle Java SE的Java SE产品中存在一个安全漏洞(组件:JavaFX)。受影响的支持版本是Java SE:8u251。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Java SE。成功的攻击需要攻击者以外的人进行人为交互,并且虽然漏洞在Java SE中,攻击可能会显著影响其他产品。成功利用此漏洞可能导致Java SE被接管。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数8.3(机密性、完整性和可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)。(CVE-2020-14664)
通过改进的内存管理解决了一个使用后释放问题。这个问题在Safari 17.2、iOS 17.2和iPadOS 17.2、tvOS 17.2、watchOS 10.2、macOS Sonoma 14.2中已修复。处理恶意制作的网络内容可能导致任意代码执行。(CVE-2023-42950)
Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)。受影响的支持版本包括Oracle Java SE:8u391、8u391-perf、11.0.21、17.0.9、21.0.1;Oracle GraalVM for JDK:17.0.9、21.0.1;Oracle GraalVM Enterprise Edition:20.3.12、21.3.8和22.3.4。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的创建、删除或修改关键数据或所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据,以及未经授权访问关键数据或完全访问所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数7.4(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。(CVE-2024-20918)
Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)。受影响的支持版本包括Oracle Java SE:8u391、8u391-perf、11.0.21、17.0.9、21.0.1;Oracle GraalVM for JDK:17.0.9、21.0.1;Oracle GraalVM Enterprise Edition:20.3.12、21.3.8和22.3.4。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的创建、删除或修改关键数据或所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据。注意:此漏洞只能通过向指定组件的API提供数据来利用,而不需要使用不受信任的Java Web Start应用程序或不受信任的Java小程序,例如通过Web服务。CVSS 3.1基础分数5.9(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N)。(CVE-2024-20919)
Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)。受影响的支持版本包括Oracle Java SE:8u391、8u391-perf、11.0.21、17.0.9、21.0.1;Oracle GraalVM for JDK:17.0.9、21.0.1;Oracle GraalVM Enterprise Edition:20.3.12、21.3.8和22.3.4。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权访问关键数据或完全访问所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数5.9(机密性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)。(CVE-2024-20921)
Oracle Java SE、Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:JavaFX)。受影响的支持版本包括Oracle Java SE:8u391;Oracle GraalVM Enterprise Edition:20.3.12和21.3.8。这个难以利用的漏洞允许未经身份验证的攻击者登录到Oracle Java SE、Oracle GraalVM Enterprise Edition执行的基础架构来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功的攻击需要攻击者以外的人进行人为交互。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数2.5(完整性影响)。CVSS向量:(CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2024-20922)
Oracle Java SE和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:JavaFX)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u391;Oracle GraalVM Enterprise Edition:20.3.12和21.3.8。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功的攻击需要攻击者以外的人进行人为交互。成功利用此漏洞可能导致未经授权的读取访问Oracle Java SE、Oracle GraalVM Enterprise Edition的子集可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数3.1(机密性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N)。(CVE-2024-20923)
Oracle Java SE和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:JavaFX)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u391;Oracle GraalVM Enterprise Edition:20.3.12和21.3.8。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功的攻击需要攻击者以外的人进行人为交互。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数3.1(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2024-20925)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Scripting)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u391、8u391-perf、11.0.21;Oracle GraalVM for JDK:17.0.9;Oracle GraalVM Enterprise Edition:20.3.12、21.3.8和22.3.4。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权访问关键数据或完全访问所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数5.9(机密性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)。(CVE-2024-20926)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Security)存在安全漏洞。受影响的支持版本包括Oracle Java SE:17.0.9;Oracle GraalVM for JDK:17.0.9;Oracle GraalVM Enterprise Edition:21.3.8和22.3.4。这个容易利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的创建、删除或修改关键数据或所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数7.5(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)。(CVE-2024-20932)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Security)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u391、8u391-perf、11.0.21、17.0.9、21.0.1;Oracle GraalVM for JDK:17.0.9、21.0.1;Oracle GraalVM Enterprise Edition:20.3.12、21.3.8和22.3.4。这个难以利用的漏洞允许权限较低的攻击者登录到Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition执行的基础架构来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权访问关键数据或完全访问所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数4.7(机密性影响)。CVSS向量:(CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N)。(CVE-2024-20945)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Security)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u391、8u391-perf、11.0.21、17.0.9、21.0.1;Oracle GraalVM for JDK:17.0.9、21.0.1;Oracle GraalVM Enterprise Edition:20.3.12、21.3.8和22.3.4。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的创建、删除或修改关键数据或所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据,以及未经授权访问关键数据或完全访问所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数7.4(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。(CVE-2024-20952)
Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Compiler)存在安全漏洞。受影响的支持版本包括Oracle GraalVM for JDK:17.0.9、21.0.1;Oracle GraalVM Enterprise Edition:20.3.12、21.3.8和22.3.4。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功的攻击可能导致未经授权的读取访问Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的子集可访问数据。CVSS 3.1基础分数3.7(机密性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)。(CVE-2024-20955)
Oracle Java SE和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:JavaFX)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u401;Oracle GraalVM Enterprise Edition:20.3.13和21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者登录到Oracle Java SE、Oracle GraalVM Enterprise Edition执行的基础架构来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功的攻击需要攻击者以外的人进行人为交互。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数2.5(完整性影响)。CVSS向量:(CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2024-21002)
Oracle Java SE和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:JavaFX)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u401;Oracle GraalVM Enterprise Edition:20.3.13和21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功的攻击需要攻击者以外的人进行人为交互。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数3.1(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2024-21003)
Oracle Java SE和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:JavaFX)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u401;Oracle GraalVM Enterprise Edition:20.3.13和21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者登录到Oracle Java SE、Oracle GraalVM Enterprise Edition执行的基础架构来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功的攻击需要攻击者以外的人进行人为交互。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数2.5(完整性影响)。CVSS向量:(CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2024-21004)
Oracle Java SE和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:JavaFX)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u401;Oracle GraalVM Enterprise Edition:20.3.13和21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功的攻击需要攻击者以外的人进行人为交互。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数3.1(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N)。(CVE-2024-21005)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u401、8u401-perf、11.0.22、17.0.10、21.0.2、22;Oracle GraalVM for JDK:17.0.10、21.0.2、22;Oracle GraalVM Enterprise Edition:20.3.13和21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,导致Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21011)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Networking)存在安全漏洞。受影响的支持版本包括Oracle Java SE:11.0.22、17.0.10、21.0.2、22;Oracle GraalVM for JDK:17.0.10、21.0.2、22;Oracle GraalVM Enterprise Edition:20.3.13和21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数3.7(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21012)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u401-perf、11.0.22、17.0.10、21.0.2、22;Oracle GraalVM for JDK:17.0.10、21.0.2和22;Oracle GraalVM Enterprise Edition:21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21068)
Oracle Java SE和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Concurrency)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u401、8u401-perf、11.0.22;Oracle GraalVM Enterprise Edition:20.3.13和21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,导致Oracle Java SE、Oracle GraalVM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21085)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u401、8u401-perf、11.0.22、17.0.10、21.0.2、22;Oracle GraalVM for JDK:17.0.10、21.0.2、22;Oracle GraalVM Enterprise Edition:20.3.13和21.3.9。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21094)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14和21.3.10。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21131)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14和21.3.10。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,导致Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21138)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14和21.3.10。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的一些可访问数据,以及未经授权的读取访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的子集可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数4.8(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21140)
Oracle Java SE和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Concurrency)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u411、8u411-perf、11.0.23;Oracle GraalVM Enterprise Edition:20.3.14和21.3.10。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,导致Oracle Java SE、Oracle GraalVM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数3.7(可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21144)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:2D)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14和21.3.10。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的一些可访问数据,以及未经授权的读取访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的子集可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数4.8(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21145)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14和21.3.10。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的创建、删除或修改关键数据或所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据的能力,以及未经授权访问关键数据或完全访问所有Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition可访问数据的能力。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数7.4(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)。(CVE-2024-21147)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Networking)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u421、8u421-perf、11.0.24、17.0.12、21.0.4、23;Oracle GraalVM for JDK:17.0.12、21.0.4、23;Oracle GraalVM Enterprise Edition:20.3.15和21.3.11。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,导致Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。此漏洞不适用于Java部署,通常是服务器上,只加载并运行受信任的代码(例如,由管理员安装的代码)。CVSS 3.1基础分数3.7(可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21208)
Oracle Java SE产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u421、8u421-perf、11.0.24、17.0.12、21.0.4和23。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE的一些可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21210)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Compiler)存在安全漏洞。受影响的支持版本包括Oracle Java SE:23;Oracle GraalVM for JDK:17.0.12、21.0.4、23;Oracle GraalVM Enterprise Edition:20.3.15和21.3.11。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的一些可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)。(CVE-2024-21211)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Serialization)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u421、8u421-perf、11.0.24、17.0.12、21.0.4、23;Oracle GraalVM for JDK:17.0.12、21.0.4、23;Oracle GraalVM Enterprise Edition:20.3.15和21.3.11。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的能力,导致Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的部分拒绝服务(部分DOS)。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数3.7(可用性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)。(CVE-2024-21217)
Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE(组件:Hotspot)存在安全漏洞。受影响的支持版本包括Oracle Java SE:8u421、8u421-perf、11.0.24、17.0.12、21.0.4、23;Oracle GraalVM for JDK:17.0.12、21.0.4、23;Oracle GraalVM Enterprise Edition:20.3.15和21.3.11。这个难以利用的漏洞允许未经身份验证的攻击者通过网络访问多种协议来破坏Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致未经授权的更新、插入或删除访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的一些可访问数据,以及未经授权的读取访问Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition的子集可访问数据。注意:此漏洞可以通过使用指定组件中的API来利用,例如通过向API提供数据的Web服务。此漏洞也适用于Java部署,通常是客户端运行沙盒化的Java Web Start应用程序或沙盒化的Java小程序,这些程序加载并运行不受信任的代码(例如,来自互联网的代码)并依赖Java沙箱进行安全保护。CVSS 3.1基础分数4.8(机密性和完整性影响)。CVSS向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)。(CVE-2024-21235)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2020-14556 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2020-14562 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2020-14573 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2020-14577 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2020-14578 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2020-14581 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2020-14593 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2020-14621 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2020-14664 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2023-42950 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20918 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20919 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20921 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20922 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20923 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20925 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20926 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20932 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20945 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20952 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-20955 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21002 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21003 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21004 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21005 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21011 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21012 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21068 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21085 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21094 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21131 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21138 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21140 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21144 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21145 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21147 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21208 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21210 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21211 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21217 | KY3.5.2 | openjdk-latest | Fixed |
| CVE-2024-21235 | KY3.5.2 | openjdk-latest | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| java-latest-openjdk | x86_64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-demo | x86_64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-devel | x86_64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-headless | x86_64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-javadoc | x86_64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-javadoc-zip | x86_64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-jmods | x86_64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-src | x86_64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk | aarch64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-demo | aarch64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-devel | aarch64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-headless | aarch64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-javadoc | aarch64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-javadoc-zip | aarch64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-jmods | aarch64 | 23.0.1.11-1.ky3_5.kb1 |
| java-latest-openjdk-src | aarch64 | 23.0.1.11-1.ky3_5.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
java-latest-openjdk-javadoc-zip
