阿里云漏洞库

漏洞描述

这是一个针对Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition产品的漏洞，涉及组件为序列化（Serialization）。受影响支持的版本包括：Oracle Java SE 8u421、8u421-perf、11.0.24、17.0.12、21.0.4和23；Oracle GraalVM for JDK 17.0.12、21.0.4和23；Oracle GraalVM Enterprise Edition 20.3.15和21.3.11。这是一个难以利用的漏洞，允许未经身份验证的攻击者通过多种协议进行网络访问，从而危及Oracle Java SE、Oracle GraalVM for JDK和Oracle GraalVM Enterprise Edition的安全。成功的攻击可能导致部分拒绝服务（partial DOS）。注意：此漏洞可以通过使用指定组件的API进行利用，例如通过向这些API提供数据的Web服务。此漏洞也适用于Java部署，通常在运行沙箱Java Web Start应用程序或沙箱Java小程序的客户端中，这些客户端加载并运行来自不受信任的代码（例如来自互联网的代码），并依赖于Java沙箱进行安全保护。CVSS 3.1基础得分为3.7（对可用性的影响）。CVSS向量：（CVSS：3.1/AV：N/AC：H/PR：N/UI：N/S：U/C：N/I：N/A：L）。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://www.oracle.com/security-alerts/cpuoct2024.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	graalvm	20.3.15	-
	运行在以下环境
	应用	oracle	graalvm	21.3.11	-
	运行在以下环境
	应用	oracle	graalvm_for_jdk	17.0.12	-
	运行在以下环境
	应用	oracle	graalvm_for_jdk	21.0.4	-
	运行在以下环境
	应用	oracle	graalvm_for_jdk	23	-
	运行在以下环境
	应用	oracle	jdk	1.8.0	-
	运行在以下环境
	应用	oracle	jdk	11.0.24	-
	运行在以下环境
	应用	oracle	jdk	17.0.12	-
	运行在以下环境
	应用	oracle	jdk	21.0.4	-
	运行在以下环境
	应用	oracle	jdk	23	-
	运行在以下环境
	应用	oracle	jre	1.8.0	-
	运行在以下环境
	应用	oracle	jre	11.0.24	-
	运行在以下环境
	应用	oracle	jre	17.0.12	-
	运行在以下环境
	应用	oracle	jre	21.0.4	-
	运行在以下环境
	应用	oracle	jre	23	-
	运行在以下环境
	系统	alma_linux_9	java-21-openjdk	*		Up to (excluding) 21.0.5.0.10-3.el8.alma.1
	运行在以下环境
	系统	redhat_8	java-17-openjdk	*		Up to (excluding) 17.0.13.0.11-3.el8
	运行在以下环境
	系统	redhat_9	java-17-openjdk	*		Up to (excluding) 17.0.13.0.11-3.el9

攻击路径

本地
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo

低危 java-17-openjdk 安全漏洞 (CVE-2024-21217)

漏洞描述

解决建议

参考链接

受影响软件情况