偵測

Oracle Linux 7:java-1.8.0-openjdk (ELSA-2024-1817)

low Nessus Plugin ID 193428

語言:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 7 主機中安裝的套件受到 ELSA-2024-1817 公告中提及的多個弱點影響。

 [1:1.8.0.412.b08-1]
 - 更新至 shenandoah-jdk8u412-b08 (GA)
 - 更新 shenandoah-8u412-b08 的版本資訊。
 - Certainly Root 的完整版本資訊
 - 切換至 GA 模式。
 - ** 此 tarball 的封鎖禁令將持續至 2024 年 4 月 16 日太平洋時間下午 1 點。 **
 - 相關項目:RHEL-30926

 [1:1.8.0.412.b07-0.1.ea]
 - 更新至 shenandoah-jdk8u412-b07 (EA)
 - 更新 shenandoah-8u412-b07 的版本資訊。
 - 由於上游包含 JDK-8322725,因此需要 tzdata 2024a
 - 目前僅需要 tzdata 2023d,因為 2024a 在 buildroot 中無法使用
 - 解決:RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - 關閉 i686 上的 xz 多執行緒,因為其因記憶體不足錯誤而失敗
 - 標準化空白字元
 - 移至上游標籤樣式 (shenandoah8ux-by),為最終移回官方來源做好準備
 - generate_source_tarball.sh:為簡潔起見,將 JCONSOLE_JS_PATCH{,_DEFAULT} 重新命名為 JCONSOLE_PATCH{,_DEFAULT}
 - generate_source_tarball.sh:調整 OPENJDK_LATEST 邏輯以搭配 8u Shenandoah fork 使用
 - generate_source_tarball.sh:調整版本邏輯以便搭配 8u 使用
 - generate_source_tarball.sh:新增 SCRIPT_DIR 和 JCONSOLE_PATCH 的引用 (SC2086)
 - generate_source_tarball.sh:更新標頭中的範例以釐清
 - generate_source_tarball.sh:使用 WITH_TEMP 時在 TMPDIR 中建立目錄
 - generate_source_tarball.sh:僅在非本機存放庫上新增 --depth=1
 - 將維護指令碼移至指令碼子目錄
 - icedtea_sync.sh:使用可從 Mercurial 存放庫擷取來源的 VCS 模式進行更新
 - jconsole.desktop.in:已透過執行 icedtea_sync.sh 完成還原
 - policytool.desktop.in:同理。
 - 在規格檔案中正確還原 IcedTea 來源
 -discover_trees.sh:設定 Emacs 的編譯命令和縮排指示
 -discover_trees.sh:shellcheck:不使用 -o (SC2166)
 -discover_trees.sh:shellcheck:移除 x-prefix,原因是我們使用 Bash (SC2268)
 -discover_trees.sh:shellcheck:雙引號變數參照 (SC2086)
 - generate_source_tarball.sh:新增作者身分
 - icedtea_sync.sh:設定 Emacs 的編譯命令和縮排指示
 - icedtea_sync.sh:shellcheck:雙引號變數參照 (SC2086)
 - icedtea_sync.sh:shellcheck:移除 x-prefix,原因是我們使用 Bash (SC2268)
 - openjdk_news.sh:設定 Emacs 的編譯命令和縮排指示
 - openjdk_news.sh:shellcheck:雙引號變數參照 (SC2086)
 - openjdk_news.sh:shellcheck:移除 x-prefix,原因是我們使用 Bash (SC2268)
 - openjdk_news.sh:shellcheck:移除過時的 egrep 使用方式 (SC2196)
 - generate_source_tarball.sh:處理現有的簽出
 - generate_source_tarball.sh:將縮排與 java-21-openjdk 版本同步
 - generate_source_tarball.sh:支援透過 TO_COMPRESS 使用子目錄
 - 相關項目:RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - 在多執行緒模式中叫用 xz
 - generate_source_tarball.sh:新增 WITH_TEMP 環境變數
 - generate_source_tarball.sh:所有可用核心上的多執行緒 xz
 - generate_source_tarball.sh:新增 OPENJDK_LATEST 環境變數
 - generate_source_tarball.sh:更新有關 tarball 命名的註解
 - generate_source_tarball.sh:重新格式化註解標頭
 - generate_source_tarball.sh:重新格式化並更新說明輸出
 - generate_source_tarball.sh:執行淺層複製以提高速度
 - generate_source_tarball.sh:消除某些移除提示
 - generate_source_tarball.sh:使 tarball 可重現
 - generate_source_tarball.sh:在暫存目錄前面加上 temp-
 - generate_source_tarball.sh:移除暫時目錄結束條件
 - generate_source_tarball.sh:在 Emacs 中設定編譯命令
 - generate_source_tarball.sh:從 FILE_NAME_ROOT 移除 REPO_NAME
 - generate_source_tarball.sh:移動 PROJECT_NAME 和 REPO_NAME 檢查
 - generate_source_tarball.sh:shellcheck:移除 x-prefix,原因是我們使用 Bash (SC2268)
 - generate_source_tarball.sh:shellcheck:雙引號變數參照 (SC2086)
 - generate_source_tarball.sh:shellcheck:不使用 -a (SC2166)
 - generate_source_tarball.sh:shellcheck:不在算術變數中使用 $ (SC2004)
 - 使用向後相容的修補程式語法
 - generate_source_tarball.sh:忽略帶有 OPENJDK_LATEST 的 -ga 標籤
 - generate_source_tarball.sh:移除 echo 中的結尾句號
 - generate_source_tarball.sh:對 grep 使用長樣式引數
 - generate_source_tarball.sh:新增授權
 - generate_source_tarball.sh:新增 Emacs 的縮排指示
 - 從 systemtap tar 叫用中移除 -T0 引數
 - 相關項目:RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - 更新至 shenandoah-jdk8u412-b01 (EA)
 - 更新 shenandoah-8u412-b01 的版本資訊。
 - 切換至 EA 模式。
 - 相關項目:RHEL-30926

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2024-1817.html

Plugin 詳細資訊

嚴重性: Low

ID: 193428

檔案名稱: oraclelinux_ELSA-2024-1817.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2024/4/17

已更新: 2025/9/9

支援的感應器: Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-21094

CVSS v3

風險因素: Low

基本分數: 3.7

時間性分數: 3.2

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:java-1.8.0-openjdk, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-src, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-accessibility, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-demo, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-headless, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-javadoc-zip, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-devel, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-javadoc

必要的 KB 項目: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/4/17

弱點發布日期: 2024/4/16

參考資訊

CVE: CVE-2024-21011, CVE-2024-21068, CVE-2024-21085, CVE-2024-21094