公告ID(KYSA-202104-1348)
公告ID:KYSA-202104-1348
公告摘要:java-1.7.0-openjdk安全漏洞
等級:Critical
發(fā)布日期:2021-04-08
詳細介紹
1.修復的CVE
·CVE-2018-3136
描述:Oracle Java SE的Java SE、Java SE嵌入式組件(子組件:安全性)中的漏洞����。受影響的受支持版本是javase:6u201����、7u191、8u182和11�;javase Embedded:8u181��。難以利用的漏洞允許未經(jīng)身份驗證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)���,危害Java SE、Java SE Embedded��。成功的攻擊需要攻擊者以外的人與人交互�����,雖然漏洞存在于javase中�����,但攻擊可能會嚴重影響其他產(chǎn)品����。成功攻擊此漏洞可導致未經(jīng)授權(quán)更新����、插入或刪除對Java SE、Java SE嵌入的可訪問數(shù)據(jù)的訪問��。注意:此漏洞適用于Java部署���,通常在運行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序(在Java SE 8中)的客戶端中�,這些客戶端加載并運行不受信任的代碼(例如來自internet的代碼)并依賴Java沙盒來實現(xiàn)安全性。此漏洞不適用于僅加載和運行受信任代碼(例如由管理員安裝的代碼)的Java部署����,通常在服務(wù)器中。CVSS 3.0基本得分3.4(完整性影響)�����。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:N)�。
·CVE-2018-3139
描述:Oracle MySQL的MySQL客戶端組件(子組件:客戶端程序)中存在漏洞。受影響的受支持版本為5.5.60及更高版本��、5.6.40及更高版本��、5.7.22及更高版本以及8.0.11及更高版本���。難以利用的漏洞允許具有網(wǎng)絡(luò)訪問權(quán)限的高權(quán)限攻擊者通過多個協(xié)議危害MySQL客戶端��。成功攻擊此漏洞可導致未經(jīng)授權(quán)的能力�����,導致MySQL客戶端掛起或頻繁重復崩潰(完全DOS)���,以及對某些MySQL客戶端可訪問數(shù)據(jù)的未授權(quán)更新���、插入或刪除訪問。CVSS 3.0基本得分5.0(完整性和可用性影響)�����。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H)���。
·CVE-2018-3149
描述:Oracle Java SE的Java SE�、Java SE Embedded��、JRockit組件(子組件:JNDI)中存在漏洞��。受影響的受支持版本是javase:6u201�����、7u191�、8u182和11���;javase Embedded:8u181���;JRockit:R28.3.19���。難以利用的漏洞允許未經(jīng)身份驗證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE��、Java SE Embedded���、JRockit���。成功的攻擊需要攻擊者以外的人與人交互,雖然漏洞存在于Java SE��、Java SE Embedded����、JRockit中,但攻擊可能會顯著影響其他產(chǎn)品��。成功攻擊此漏洞可導致接管Java SE�����、Java SE Embedded、JRockit���。注意:此漏洞適用于Java部署����,通常在運行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序(在Java SE 8中)的客戶端中���,這些客戶端加載并運行不受信任的代碼(例如來自internet的代碼)并依賴Java沙盒來實現(xiàn)安全性�。通過在指定組件中使用API���,例如通過向API提供數(shù)據(jù)的web服務(wù)�,也可以利用此漏洞�。CVSS 3.0基本得分8.3(機密性、完整性和可用性影響)��。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)�����。
·CVE-2018-3169
描述:Oracle Java SE的Java SE��、Java SE嵌入式組件(子組件:熱點)中的漏洞���。受影響的受支持版本是javase:7u191����、8u182和11��;javase Embedded:8u181����。難以利用的漏洞允許未經(jīng)身份驗證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò),危害Java SE��、Java SE Embedded��。成功的攻擊需要攻擊者以外的人與人交互�,雖然漏洞存在于javase中,但攻擊可能會嚴重影響其他產(chǎn)品�����。成功攻擊此漏洞可導致接管Java SE�����,Java SE Embedded���。注意:此漏洞適用于Java部署�����,通常在運行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序(在Java SE 8中)的客戶端中��,這些客戶端加載并運行不受信任的代碼(例如來自internet的代碼)并依賴Java沙盒來實現(xiàn)安全性���。此漏洞不適用于僅加載和運行受信任代碼(例如由管理員安裝的代碼)的Java部署�����,通常在服務(wù)器中���。CVSS 3.0基本得分8.3(機密性、完整性和可用性影響)�。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)。
·CVE-2018-3180
描述:Oracle Java SE的Java SE�、Java SE Embedded、JRockit組件(子組件:JSSE)中存在漏洞�。受影響的受支持版本是javase:6u201、7u191��、8u182和11���;javase Embedded:8u181��;JRockit:R28.3.19��。難以利用的漏洞允許未經(jīng)身份驗證的攻擊者通過SSL/TLS訪問網(wǎng)絡(luò)���,從而危害Java SE、Java SE Embedded���、JRockit�。成功攻擊此漏洞可導致對Java SE����、Java SE Embedded、JRockit的某些可訪問數(shù)據(jù)進行未經(jīng)授權(quán)的更新�、插入或刪除訪問,以及對Java SE�、Java SE Embedded、Java SE Embedded和����,JRockit可訪問的數(shù)據(jù)和未經(jīng)授權(quán)的能力導致Java SE、javase Embedded��、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))。注意:此漏洞適用于Java部署�,通常在運行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序(在Java SE 8中)的客戶端中,這些客戶端加載并運行不受信任的代碼(例如來自internet的代碼)并依賴Java沙盒來實現(xiàn)安全性����。通過在指定組件中使用API,例如通過向API提供數(shù)據(jù)的web服務(wù)��,也可以利用此漏洞��。CVSS 3.0基本得分5.6(機密性�����、完整性和可用性影響)����。CVSS Vector:(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)。
·CVE-2018-3214
描述:Oracle Java SE的Java SE�����,Java SE Embedded�,JRockit組件(子組件:聲音)中存在漏洞。受影響的受支持版本是javase:6u201����、7u191和8u182;javase Embedded:8u181�;JRockit:R28.3.19。易受攻擊的漏洞允許未經(jīng)身份驗證的攻擊者通過多種協(xié)議訪問網(wǎng)絡(luò)����,從而危害Java SE、Java SE Embedded����、JRockit。成功攻擊此漏洞會導致未經(jīng)授權(quán)的能力����,從而導致Java SE、Java SE Embedded�����、JRockit的部分拒絕服務(wù)(部分拒絕服務(wù))����。注意:此漏洞適用于Java部署,通常在運行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序(在Java SE 8中)的客戶端中���,這些客戶端加載并運行不受信任的代碼(例如�,來自internet的代碼)并依賴Java沙盒來實現(xiàn)安全性。通過在指定組件中使用API��,例如通過向API提供數(shù)據(jù)的web服務(wù)���,也可以利用此漏洞����。CVSS 3.0基本得分5.3(可用性影響)����。CVSS Vector:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。
·CVE-2019-2422
描述:Oracle Java SE的Java SE組件(子組件:庫)中存在漏洞�����。受影響的受支持版本是javase:7u201�����、8u192和11.0.1����;javase Embedded:8u191���。難以利用的漏洞允許未經(jīng)身份驗證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò),從而危害Java SE�����。成功的攻擊需要攻擊者以外的人與人進行交互�����。成功攻擊此漏洞會導致對Java SE可訪問數(shù)據(jù)子集的未經(jīng)授權(quán)的讀取訪問���。注意:此漏洞適用于Java部署,通常在運行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序(在Java SE 8中)的客戶端中��,這些客戶端加載并運行不受信任的代碼(例如����,來自internet的代碼)并依賴Java沙盒來實現(xiàn)安全性。此漏洞不適用于僅加載和運行受信任代碼(例如����,由管理員安裝的代碼)的Java部署,通常在服務(wù)器中。CVSS 3.0基本得分3.1(保密影響)���。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N)�����。
·CVE-2019-2602
描述:Oracle Java SE和Oracle Java SE Embedded都是美國甲骨文(Oracle)公司的產(chǎn)品���。Oracle Java SE是一款用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實時環(huán)境中的Java應(yīng)用程序�����。Oracle Java SE Embedded是一款針對嵌入式系統(tǒng)的���、可移植的應(yīng)用程序的Java平臺�。Oracle Java SE和Java SE Embedded中的Libraries子組件存在安全漏洞�����。攻擊者可利用該漏洞造成拒絕服務(wù)(掛起或頻繁崩潰)����,影響數(shù)據(jù)的可用性。以下產(chǎn)品和版本受到影響:Oracle Java SE 7u211版本,8u202版本�����,11.0.2版本��,12����;Java SE Embedded 8u201版本。
·CVE-2019-2684
描述:Oracle Java SE和Oracle Java SE Embedded都是美國甲骨文(Oracle)公司的產(chǎn)品��。Oracle Java SE是一款用于開發(fā)和部署桌面�����、服務(wù)器以及嵌入設(shè)備和實時環(huán)境中的Java應(yīng)用程序�����。Oracle Java SE Embedded是一款針對嵌入式系統(tǒng)的���、可移植的應(yīng)用程序的Java平臺。Oracle Java SE和Java SE Embedded中的RMI子組件存在訪問控制錯誤漏洞�����。攻擊者可利用該漏洞未授權(quán)創(chuàng)建、刪除或修改數(shù)據(jù)�,影響數(shù)據(jù)的完整性。以下產(chǎn)品和版本受到影響:Java SE 7u211版本���,8u202版本�,11.0.2版本�,12版本;Java SE Embedded 8u201版本����。
·CVE-2019-2698
描述:Oracle Java SE是美國甲骨文(Oracle)公司的一款用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實時環(huán)境中的Java應(yīng)用程序����。Oracle Java SE 7u211版本和8u202版本中的2D子組件存在訪問控制錯誤漏洞。攻擊者可利用該漏洞控制組件��,影響數(shù)據(jù)的保密性���、完整性和可用性�����。
·CVE-2019-2842
描述:Oracle Java SE的Java SE組件(子組件:JCE)中存在漏洞�����。受影響的受支持版本是javase:8u212���。難以利用的漏洞允許未經(jīng)身份驗證的攻擊者通過多個協(xié)議訪問網(wǎng)絡(luò)���,從而危害Java SE。成功攻擊此漏洞會導致未經(jīng)授權(quán)的能力����,從而導致Java SE的部分拒絕服務(wù)(部分DOS)。注意:此漏洞適用于Java部署��,通常在運行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序(在Java SE 8中)的客戶端中�,這些客戶端加載并運行不受信任的代碼(例如��,來自internet的代碼)并依賴Java沙盒來實現(xiàn)安全性����。通過在指定組件中使用API,例如通過向API提供數(shù)據(jù)的web服務(wù)��,也可以利用此漏洞。CVSS 3.0基本得分3.7(可用性影響)��。CVSS矢量:(CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)���。
2.受影響的軟件包
·中標麒麟高級服務(wù)器操作系統(tǒng) V7
·aarch64架構(gòu):
java-1.7.0-openjdk����、java-1.7.0-openjdk-accessibility�、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel��、java-1.7.0-openjdk-headless��、java-1.7.0-openjdk-javadoc�、java-1.7.0-openjdk-src
·x86_64架構(gòu):
java-1.7.0-openjdk、java-1.7.0-openjdk-accessibility�����、java-1.7.0-openjdk-demo�����、java-1.7.0-openjdk-devel�����、java-1.7.0-openjdk-headless、java-1.7.0-openjdk-javadoc����、java-1.7.0-openjdk-src
3.軟件包修復版本
·中標麒麟高級服務(wù)器操作系統(tǒng) V7 (aarch64、x86_64)
java-1.7.0-openjdk-1.7.0.221-2.6.18.1.el7或以上版本
java-1.7.0-openjdk-accessibility-1.7.0.221-2.6.18.1.el7或以上版本
java-1.7.0-openjdk-demo-1.7.0.221-2.6.18.1.el7或以上版本
java-1.7.0-openjdk-devel-1.7.0.221-2.6.18.1.el7或以上版本
java-1.7.0-openjdk-headless-1.7.0.221-2.6.18.1.el7或以上版本
java-1.7.0-openjdk-javadoc-1.7.0.221-2.6.18.1.el7或以上版本
java-1.7.0-openjdk-src-1.7.0.221-2.6.18.1.el7或以上版本
4.修復方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件�����,根據(jù)倉庫地址進行修改����。
倉庫源地址:
中標麒麟高級服務(wù)器操作系統(tǒng) V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/
2.配置完成后執(zhí)行更新命令進行升級,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包��,使用軟件包升級命令根據(jù)受影響的軟件包
列表進行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2018-3136:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效���。
CVE-2018-3139:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效�。
CVE-2018-3149:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效�。
CVE-2018-3169:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效����。
CVE-2018-3180:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效�����。
CVE-2018-3214:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效�。
CVE-2019-2422:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效��。
CVE-2019-2602:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效����。
CVE-2019-2684:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效。
CVE-2019-2698:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效���。
CVE-2019-2842:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復生效��。
5.軟件包下載地址
·中標麒麟高級服務(wù)器操作系統(tǒng) V7
java-1.7.0-openjdk(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/java-1.7.0-openjdk-1.7.0.221-2.6.18.1.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/java-1.7.0-openjdk-accessibility-1.7.0.221-2.6.18.1.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/java-1.7.0-openjdk-demo-1.7.0.221-2.6.18.1.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/java-1.7.0-openjdk-devel-1.7.0.221-2.6.18.1.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/java-1.7.0-openjdk-headless-1.7.0.221-2.6.18.1.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/java-1.7.0-openjdk-javadoc-1.7.0.221-2.6.18.1.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/java-1.7.0-openjdk-src-1.7.0.221-2.6.18.1.el7.aarch64.rpm
java-1.7.0-openjdk(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.7.0-openjdk-1.7.0.221-2.6.18.1.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.7.0-openjdk-accessibility-1.7.0.221-2.6.18.1.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.7.0-openjdk-demo-1.7.0.221-2.6.18.1.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.7.0-openjdk-devel-1.7.0.221-2.6.18.1.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.7.0-openjdk-headless-1.7.0.221-2.6.18.1.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.7.0-openjdk-javadoc-1.7.0.221-2.6.18.1.el7.noarch.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/java-1.7.0-openjdk-src-1.7.0.221-2.6.18.1.el7.x86_64.rpm
注:其他相關(guān)依賴包請到相同目錄下載
6.修復驗證
使用軟件包查詢命令���,查看相關(guān)軟件包版本是否與修復版本一致,如果版本一致�,則說明修復成功。
sudo rpm -qa | grep Packagename
