阿里云漏洞库

漏洞描述

Oracle Java SE，Oracle GraalVM Enterprise Edition，Oracle GraalVM for JDK产品中存在漏洞。影响的受支持版本有：Oracle Java SE：8u381-perf，17.0.8，20.0.2；Oracle GraalVM for JDK：17.0.8和20.0.2。该漏洞难以利用，允许未经身份验证的攻击者通过多种协议进行网络访问，从而危及Oracle Java SE，Oracle GraalVM Enterprise Edition，Oracle GraalVM for JDK。成功利用此漏洞可能导致对某些Oracle Java SE，Oracle GraalVM Enterprise Edition，Oracle GraalVM for JDK可访问的数据进行未经授权的更新、插入或删除访问。请注意：可以通过使用指定组件中的API（例如，通过向API提供数据的Web服务）来利用此漏洞。此漏洞还适用于Java部署，通常在运行沙箱化的Java Web Start应用程序或沙箱化的Java小程序的客户端上加载和运行不受信任的代码（例如，来自互联网的代码），并且依赖于Java沙箱提供安全保护。CVSS 3.1基本评分3.7（完整性影响）。CVSS向量：（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N）。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://security.netapp.com/advisory/ntap-20231027-0006/
https://www.debian.org/security/2023/dsa-5548
https://www.oracle.com/security-alerts/cpuoct2023.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	graalvm_for_jdk	17.0.8	-
	运行在以下环境
	应用	oracle	graalvm_for_jdk	21	-
	运行在以下环境
	应用	oracle	jdk	1.8.0	-
	运行在以下环境
	应用	oracle	jdk	17.0.8	-
	运行在以下环境
	应用	oracle	jdk	21.0.0	-
	运行在以下环境
	应用	oracle	jre	1.8.0	-
	运行在以下环境
	应用	oracle	jre	17.0.8	-
	运行在以下环境
	应用	oracle	jre	21.0.0	-
	运行在以下环境
	系统	alibaba_cloud_linux_3	java-17-openjdk	*		Up to (excluding) 17.0.9.0.9-2.0.3.al8
	运行在以下环境
	系统	alma_linux_8	java-21-openjdk	*		Up to (excluding) 21.0.1.0.12-2.el8.alma.1
	运行在以下环境
	系统	alma_linux_9	java-21-openjdk	*		Up to (excluding) 21.0.1.0.12-2.el9.alma.1
	运行在以下环境
	系统	alpine_3.16	openjdk17	*		Up to (excluding) 17.0.9_p8-r0
	运行在以下环境
	系统	alpine_3.17	openjdk17	*		Up to (excluding) 17.0.9_p8-r0
	运行在以下环境
	系统	alpine_3.18	openjdk17	*		Up to (excluding) 17.0.9_p8-r0
	运行在以下环境
	系统	alpine_3.19	openjdk17	*		Up to (excluding) 17.0.9_p8-r0
	运行在以下环境
	系统	amazon_2	java-17-amazon-corretto	*		Up to (excluding) 17.0.9+8-1.amzn2.1
	运行在以下环境
	系统	amazon_2023	java-21-amazon-corretto	*		Up to (excluding) 21.0.1+12-1.amzn2023.1
	运行在以下环境
	系统	anolis_os_8	java-17-openjdk	*		Up to (excluding) 17.0.9.0.9-2.0.2
	运行在以下环境
	系统	debian_11	openjdk-17	*		Up to (excluding) 17.0.9+9-1~deb11u1
	运行在以下环境
	系统	debian_12	openjdk-17	*		Up to (excluding) 17.0.9+9-1~deb12u1
	运行在以下环境
	系统	kylinos_aarch64_V10	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10HPC	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10h
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP3	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP32309b	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10HPC	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10h
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP3	java-11-openjdk	*		Up to (excluding) 11.0.21.9-1.ky10
	运行在以下环境
系统	opensuse_Leap_15.4	java-1_8_0-ibm	*		Up to (excluding) 1.8.0_sr8.15-150000.3.83.1
运行在以下环境
系统	opensuse_Leap_15.5	java-1_8_0-ibm	*		Up to (excluding) 1.8.0_sr8.15-150000.3.83.1
运行在以下环境
系统	oracle_8	java-21-openjdk	*		Up to (excluding) 21.0.1.0.12-2.0.1.el8
运行在以下环境
系统	oracle_9	java-21-openjdk	*		Up to (excluding) 21.0.1.0.12-2.0.1.el9
运行在以下环境
系统	redhat_8	java-17-openjdk	*		Up to (excluding) 17.0.9.0.9-2.el8
运行在以下环境
系统	redhat_9	java-17-openjdk	*		Up to (excluding) 17.0.9.0.9-2.el9
运行在以下环境
系统	suse_12_SP5	java-1_8_0-ibm	*		Up to (excluding) 1.8.0_sr8.15-30.117.1
运行在以下环境
系统	ubuntu_20.04	openjdk-8	*		Up to (excluding) 11.0.21+9-0ubuntu1~20.04
运行在以下环境
系统	ubuntu_22.04	openjdk-8	*		Up to (excluding) 21.0.1+12-2~22.04

攻击路径

本地
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo

低危 Oracle Java SE 安全漏洞(CVE-2023-22025)

漏洞描述

解决建议

参考链接

受影响软件情况