Rocky Linux 9 java-1.8.0-openjdk (RLSA-2023:4178)
low Nessus Plugin ID 179470
語言:
概要
遠端 Rocky Linux 主機缺少一個或多個安全性更新。說明
遠端 Rocky Linux 9 主機已安裝受到多個弱點影響的套件如 RLSA-2023:4178 公告中所提及。- Oracle Java SE、Oracle GraalVM 企業版、Oracle Java SE 的 Oracle GraalVM for JDK 產品中的弱點 (元件:Hotspot)。受影響的支援版本是 Oracle Java SE:8u371、8u371-perf、11.0.19、17.0.7、20.0.1;Oracle GraalVM 企業版:20.3.10、21.3.6、22.3.2;Oracle GraalVM for JDK:17.0.7 和 20.0.1。攻擊此弱點具有難度,能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK。若攻擊成功,攻擊者可在未經授權的情況下讀取部分 Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK 的可存取資料。注意:使用指定之元件中的 API 可以惡意利用此弱點,例如,透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署,通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中,這種部署會載入並執行不受信任的程式碼 (例如,來自網際網路的程式碼),並依賴 Java 沙箱獲得安全性。(CVE-2023-22045)
- Oracle Java SE、Oracle GraalVM 企業版、Oracle Java SE 的 Oracle GraalVM for JDK 產品中的弱點 (元件:Libraries) 受影響的支援版本是 Oracle Java SE:8u371、8u371-perf、11.0.19、17.0.7、20.0.1;Oracle GraalVM 企業版:20.3.10、21.3.6、22.3.2;Oracle GraalVM for JDK:17.0.7 和 20.0.1。攻擊此弱點具有難度,能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK。若攻擊成功,攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Java SE、GraalVM Enterprise Edition 和 Oracle GraalVM for JDK 的部分可存取資料。注意:使用指定之元件中的 API 可以惡意利用此弱點,例如,透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署,通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中,這種部署會載入並執行不受信任的程式碼 (例如,來自網際網路的程式碼),並依賴 Java 沙箱獲得安全性。(CVE-2023-22049)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://errata.rockylinux.org/RLSA-2023:4178
https://bugzilla.redhat.com/show_bug.cgi?id=2220662
Plugin 詳細資訊
嚴重性: Low
ID: 179470
檔案名稱: rocky_linux_RLSA-2023-4178.nasl
版本: 1.0
類型: local
已發布: 2023/8/8
已更新: 2023/8/8
支援的感應器: Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Low
基本分數: 2.6
時間性分數: 1.9
媒介: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2023-22049
CVSS v3
風險因素: Low
基本分數: 3.7
時間性分數: 3.2
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-src-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-slowdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-fastdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-fastdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-src-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-debugsource, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-fastdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-fastdebug-debuginfo, cpe:/o:rocky:linux:9, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-src, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-javadoc, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-javadoc-zip, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-slowdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-slowdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-devel-slowdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-demo-slowdebug, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-fastdebug-debuginfo, p-cpe:/a:rocky:linux:java-1.8.0-openjdk-headless-fastdebug
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2023/8/8
弱點發布日期: 2023/7/18
參考資訊
CVE: CVE-2023-22045, CVE-2023-22049