阿里云漏洞库

漏洞描述

Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品中的Oracle Java SE组件存在漏洞。受影响的支持版本包括Oracle Java SE: 8u401-perf、11.0.22、17.0.10、21.0.2和22；Oracle GraalVM for JDK: 17.0.10、21.0.2和22；Oracle GraalVM Enterprise Edition: 21.3.9。该漏洞难以利用，允许通过多个协议进行网络访问的未经身份验证的攻击者危害Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition。成功利用该漏洞可能导致对部分Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition可访问数据的未经授权的更新、插入或删除访问。请注意：此漏洞可通过在指定组件中使用API利用，例如通过向API提供数据的Web服务。此漏洞还适用于Java部署，通常是在运行沙箱化Java Web启动应用程序或沙箱化Java小程序的客户端中，加载和运行不受信任的代码（例如来自互联网的代码）并依赖于Java沙箱来保护安全性。CVSS 3.1基本评分为3.7（完整性影响），CVSS向量为（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N）。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://lists.debian.org/debian-lts-announce/2024/04/msg00014.html
https://security.netapp.com/advisory/ntap-20240426-0004/
https://www.oracle.com/security-alerts/cpuapr2024.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alma_linux_9	java-17-openjdk	*		Up to (excluding) 17.0.11.0.9-2.el8
	运行在以下环境
	系统	redhat_7	java-1.8.0-openjdk	*		Up to (excluding) 1.8.0.412.b08-1.el7_9
	运行在以下环境
	系统	redhat_8	java-17-openjdk	*		Up to (excluding) 17.0.11.0.9-2.el8
	运行在以下环境
	系统	redhat_9	java-17-openjdk	*		Up to (excluding) 17.0.11.0.9-2.el9

攻击路径

本地
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型

低危 java-1.8.0-openjdk 安全漏洞 (CVE-2024-21068)

漏洞描述

解决建议

参考链接

受影响软件情况