阿里云漏洞库

漏洞描述

这是一个关于Oracle Java SE、Oracle GraalVM for JDK以及Oracle GraalVM Enterprise Edition产品的漏洞描述。该漏洞存在于Oracle Java SE的组件Hotspot中。受影响支持的版本包括Oracle Java SE的8u421、8u421-perf、11.0.24、17.0.12、21.0.4和23版本；Oracle GraalVM for JDK的17.0.12、21.0.4和23版本；以及Oracle GraalVM Enterprise Edition的20.3.15和21.3.11版本。这个漏洞很容易被利用，未经验证的攻击者可以通过多种协议的网络访问来危害Oracle Java SE、Oracle GraalVM for JDK以及Oracle GraalVM Enterprise Edition。成功的攻击可能导致对Oracle Java SE、Oracle GraalVM for JDK以及Oracle GraalVM Enterprise Edition的部分数据进行未经授权的更新、插入或删除操作，以及未经授权的读取访问。请注意，这个漏洞可以通过使用指定的组件API来利用，例如通过向API提供数据的Web服务。此外，该漏洞也适用于Java部署，通常在运行沙箱Java Web Start应用程序或沙箱Java小程序的客户端中加载和运行来自不受信任的代码（例如来自互联网的代码），并依赖于Java沙箱进行安全保护。CVSS 3.1基础得分为4.8（对机密性和完整性的影响）。CVSS向量：（CVSS：3.1/AV：N/AC：H/PR：N/UI：N/S：U/C：L/I：L/A：N）。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://www.oracle.com/security-alerts/cpuoct2024.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	graalvm	20.3.15	-
	运行在以下环境
	应用	oracle	graalvm	21.3.11	-
	运行在以下环境
	应用	oracle	graalvm_for_jdk	17.0.12	-
	运行在以下环境
	应用	oracle	graalvm_for_jdk	21.0.4	-
	运行在以下环境
	应用	oracle	graalvm_for_jdk	23	-
	运行在以下环境
	应用	oracle	jdk	1.8.0	-
	运行在以下环境
	应用	oracle	jdk	11.0.24	-
	运行在以下环境
	应用	oracle	jdk	17.0.12	-
	运行在以下环境
	应用	oracle	jdk	21.0.4	-
	运行在以下环境
	应用	oracle	jdk	23	-
	运行在以下环境
	应用	oracle	jre	1.8.0	-
	运行在以下环境
	应用	oracle	jre	11.0.24	-
	运行在以下环境
	应用	oracle	jre	17.0.12	-
	运行在以下环境
	应用	oracle	jre	21.0.4	-
	运行在以下环境
	应用	oracle	jre	23	-
	运行在以下环境
	系统	alma_linux_9	java-21-openjdk	*		Up to (excluding) 21.0.5.0.10-3.el8.alma.1
	运行在以下环境
	系统	redhat_8	java-17-openjdk	*		Up to (excluding) 17.0.13.0.11-3.el8
	运行在以下环境
	系统	redhat_9	java-17-openjdk	*		Up to (excluding) 17.0.13.0.11-3.el9

攻击路径

本地
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo

中危 java-17-openjdk 安全漏洞 (CVE-2024-21235)

漏洞描述

解决建议

参考链接

受影响软件情况