OpenJDK 7 <= 7u291 / 8 <= 8u282 / 11.0.0 <= 11.0.10 / 13.0.0 <= 13.0.6 / 15.0.0 <= 15.0.2 / 16.0.0 多個弱點 (2021-04-20)

medium Nessus Plugin ID 151207

概要

OpenJDK 受到多個弱點影響。

說明

遠端主機上安裝的 OpenJDK 版本早於 7 <= 7u291 / 8 <= 8u282 / 11.0.0 <= 11.0.10 / 13.0.0 <= 13.0.6 / 15.0.0 <= 15.0.2 / 16.0.0。因此,會受到 2021-04-20 公告中所提及的多個弱點影響。

- Oracle Java SE 的 Java SE、Java SE Embedded、Oracle GraalVM 企業版產品中存在弱點 (元件:Libraries)。受影響的支援版本是 Java SE:7u291、8u281、11.0.10、16;
Java SE Embedded:8u281;Oracle GraalVM 企業版:19.3.5、20.3.1.2 和 21.0.0.2。攻擊此弱點具有難度,能夠透過多個通訊協定存取網路的未經驗證攻擊者可利用此弱點入侵 Java SE、Java SE Embedded、Oracle GraalVM 企業版。若攻擊成功,攻擊者可在未經授權的情況下,建立、刪除或修改重要資料或所有 Java SE、Java SE Embedded、Oracle GraalVM 企業版可存取的資料。注意:此弱點適用於會載入並執行不受信任的程式碼 (例如,來自網際網路的程式碼) 並依賴 Java 沙箱獲得安全性的 Java 部署。透過將未受信任的資料提供給指定元件中的 API,也可惡意利用此問題。

- Oracle Java SE 的 Java SE、Java SE Embedded、Oracle GraalVM 企業版產品中存在弱點 (元件:Libraries)。受影響的支援版本是 Java SE:7u291、8u281、11.0.10、16;
Java SE Embedded:8u281;Oracle GraalVM 企業版:19.3.5、20.3.1.2 和 21.0.0.2。攻擊此弱點具有難度,能夠透過多個通訊協定存取網路的未經驗證攻擊者可利用此弱點入侵 Java SE、Java SE Embedded、Oracle GraalVM 企業版。若要成功攻擊,必須有攻擊者以外之他人的互動。若攻擊成功,攻擊者可在未經授權的情況下,建立、刪除或修改重要資料或所有 Java SE、Java SE Embedded、Oracle GraalVM 企業版可存取的資料。注意:此弱點適用於會載入並執行不受信任的程式碼 (例如,來自網際網路的程式碼) 並依賴 Java 沙箱獲得安全性的 Java 部署。

請注意:
- Java CVE 不一定會包含 OpenJDK 版本,但會由 Tenable 使用所提及的 OpenJDK 安全性公告中的修補程式版本予以單獨確認。
- Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼來判斷。

解決方案

升級至 OpenJDK 7u291 / 8u282 / 11.0.10 / 13.0.6 / 15.0.2 / 16.0.0 以上版本

另請參閱

https://openjdk.java.net/groups/vulnerability/advisories/2021-04-20

Plugin 詳細資訊

嚴重性: Medium

ID: 151207

檔案名稱: openjdk_20_04_2021.nasl

版本: 1.7

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2021/7/6

已更新: 2023/12/11

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.6

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2021-2161

CVSS v3

風險因素: Medium

基本分數: 5.9

時間分數: 5.5

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:openjdk

必要的 KB 項目: installed_sw/Java

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2021/4/20

弱點發布日期: 2021/4/20

參考資訊

CVE: CVE-2021-2161, CVE-2021-2163

IAVA: 2021-A-0195