公告ID(KYSA-202303-1087)
公告ID:KYSA-202303-1087
公告摘要:java-11-openjdk安全漏洞
等級(jí):Moderate
發(fā)布日期:2023-03-21
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2021-35578
描述:Oracle Java SE是美國甲骨文(Oracle)公司的一款用于開發(fā)和部署桌面�����、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序����。Oracle Java SE 的 Oracle GraalVM Enterprise Edition(組件:JSSE)存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過 TLS 進(jìn)行網(wǎng)絡(luò)訪問以破壞 Oracle GraalVM Enterprise Edition��。成功攻擊此漏洞可導(dǎo)致拒絕服務(wù)�����。
·CVE-2021-35586
描述:Oracle Java SE是美國甲骨文(Oracle)公司的一款用于開發(fā)和部署桌面���、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序���。Oracle Java SE 的 Oracle GraalVM Enterprise Edition(組件:ImageIO)存在輸入驗(yàn)證錯(cuò)誤漏洞��,該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)����,從而破壞 Oracle GraalVM Enterprise Edition����。成功攻擊此漏洞可導(dǎo)致拒絕服務(wù)����。
·CVE-2021-35603
描述:Oracle Java SE是美國甲骨文(Oracle)公司的一款用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序����。Oracle Java SE Oracle GraalVM Enterprise Edition 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于JSSE組件的輸入驗(yàn)證不當(dāng)����。遠(yuǎn)程的未經(jīng)身份驗(yàn)證的攻擊者可以利用此漏洞獲取敏感信息的訪問權(quán)。
·CVE-2022-21618
描述:Oracle Java SE和Oracle GraalVM都是美國甲骨文(Oracle)公司的產(chǎn)品���。Oracle Java SE是一款用于開發(fā)和部署桌面���、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序。Oracle GraalVM是一套使用Java語言編寫的即時(shí)編譯器����。該產(chǎn)品支持多種編程語言和執(zhí)行模式���。Oracle Java SE 17.0.4.1版本和19版本、Oracle GraalVM Enterprise Edition 21.3.3版本和22.2.0版本存在安全漏洞���。攻擊者利用該漏洞可以更新�、插入或刪除數(shù)據(jù)庫數(shù)據(jù)����。
·CVE-2022-21619
描述:Oracle Java SE是美國甲骨文(Oracle)公司的一款用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序����。Oracle Java SE 8u341版本、8u345 perf版本�、11.0.16.1版本、17.0.4.1版本�、19版本,Oracle GraalVM Enterprise Edition 20.3.7版本��、21.3.3版本和22.2.0版本存在安全漏洞�。攻擊者利用該漏洞導(dǎo)致Oracle Java SE,Oracle GraalVM Enterprise Edition部分拒絕服務(wù)�。
·CVE-2022-21624
描述:Oracle Java SE和Oracle GraalVM都是美國甲骨文(Oracle)公司的產(chǎn)品。Oracle Java SE是一款用于開發(fā)和部署桌面��、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序��。Oracle GraalVM是一套使用Java語言編寫的即時(shí)編譯器�����。該產(chǎn)品支持多種編程語言和執(zhí)行模式���。Oracle Java SE 8u341版本�、8u345 perf版本��、11.0.16.1版本�、17.0.4.1版本、19版本��,Oracle GraalVM Enterprise Edition 20.3.7版本���、21.3.3版本和22.2.0版本存在安全漏洞��。攻擊者利用該漏洞可以更新�����、插入或刪除數(shù)據(jù)庫數(shù)據(jù)����。
·CVE-2022-21626
描述:Oracle Java SE是美國甲骨文(Oracle)公司的一款用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序����。Oracle Java SE 8u341版本、8u345 perf版本�、11.0.16.1版本,Oracle GraalVM Enterprise Edition 20.3.7版本���、21.3.3版本和22.2.0版本存在安全漏洞��。攻擊者利用該漏洞導(dǎo)致Oracle Java SE�����,Oracle GraalVM Enterprise Edition部分拒絕服務(wù)��。
·CVE-2022-21628
描述:Oracle Java SE和Oracle GraalVM都是美國甲骨文(Oracle)公司的產(chǎn)品�。Oracle Java SE是一款用于開發(fā)和部署桌面��、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序�。Oracle GraalVM是一套使用Java語言編寫的即時(shí)編譯器�����。該產(chǎn)品支持多種編程語言和執(zhí)行模式���。Oracle Java SE 8u341版本�、8u345 perf版本、11.0.16.1版本���、17.0.4.1版本��、19版本����,Oracle GraalVM Enterprise Edition 20.3.7版本����、21.3.3版本和22.2.0版本存在安全漏洞。攻擊者利用該漏洞導(dǎo)致Oracle Java SE�����,Oracle GraalVM Enterprise Edition部分拒絕服務(wù)�����。
·CVE-2022-39399
描述:Oracle Java SE和Oracle GraalVM都是美國甲骨文(Oracle)公司的產(chǎn)品。Oracle Java SE是一款用于開發(fā)和部署桌面�、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序。Oracle GraalVM是一套使用Java語言編寫的即時(shí)編譯器�。該產(chǎn)品支持多種編程語言和執(zhí)行模式。Oracle Java SE 11.0.16.1版本��、17.0.4.1版本�、19版本,Oracle GraalVM Enterprise Edition 20.3.7版本����、21.3.3版本和22.2.0版本存在安全漏洞。攻擊者利用該漏洞可以更新���、插入或刪除數(shù)據(jù)庫數(shù)據(jù)����。
2.受影響的軟件包
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
·loongarch64架構(gòu):
java-11-openjdk�、java-11-openjdk-demo、java-11-openjdk-demo-slowdebug�、java-11-openjdk-devel、java-11-openjdk-devel-slowdebug��、java-11-openjdk-headless、java-11-openjdk-headless-slowdebug��、java-11-openjdk-javadoc����、java-11-openjdk-javadoc-zip、java-11-openjdk-jmods����、java-11-openjdk-jmods-slowdebug�����、java-11-openjdk-slowdebug���、java-11-openjdk-src��、java-11-openjdk-src-slowdebug�、java-11-openjdk-static-libs��、java-11-openjdk-static-libs-slowdebug
3.軟件包修復(fù)版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 (loongarch64)
java-11-openjdk-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-demo-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-demo-slowdebug-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-devel-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-devel-slowdebug-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-headless-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-headless-slowdebug-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-javadoc-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-javadoc-zip-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-jmods-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-jmods-slowdebug-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-slowdebug-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-src-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-src-slowdebug-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-static-libs-11.0.17.0.8-11.3.0.a.ky10或以上版本
java-11-openjdk-static-libs-slowdebug-11.0.17.0.8-11.3.0.a.ky10或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開軟件包源配置文件���,根據(jù)倉庫地址進(jìn)行修改�。
倉庫源地址:
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí),命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過軟件包地址下載軟件包����,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2021-35578:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2021-35586:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2021-35603:需要重啟 java-11-openjdk 以使漏洞修復(fù)生效��。
CVE-2022-21618:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2022-21619:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2022-21624:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2022-21626:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2022-21628:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2022-39399:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
5.軟件包下載地址
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
java-11-openjdk(loongarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-demo-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-demo-slowdebug-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-devel-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-devel-slowdebug-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-headless-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-headless-slowdebug-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-javadoc-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-javadoc-zip-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-jmods-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-jmods-slowdebug-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-slowdebug-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-src-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-src-slowdebug-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-static-libs-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/java-11-openjdk-static-libs-slowdebug-11.0.17.0.8-11.3.0.a.ky10.loongarch64.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令��,查看相關(guān)軟件包版本是否與修復(fù)版本一致��,如果版本一致,則說明修復(fù)成功�。
sudo rpm -qa | grep Packagename
