偵測

Oracle Linux 8/9:java-17-openjdk (ELSA-2024-4568)

medium Nessus Plugin ID 202630

語言:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 8/9 主機中安裝的套件受到 ELSA-2024-4568 公告中提及的多個弱點影響。

 [1:17.0.12.0.7-2.0.1]
 - 新增 Oracle 供應商錯誤 URL

 [1:17.0.12.0.7-2]
 - jdk-17.0.12+7 的更新 (GA)
 - 更新 .gitignore 以忽略 openjdk-17.0.12+7.tar.xz
 - 同步 java-17-openjdk-portable.specfile
 - 將 buildver 設為 7
 - 設定 portablerelease 1
 - 將 is_ga 設為 1
 - 更新 openjdk-17.0.12+7.tar.xz 的來源
 - 解決:RHEL-46641
 - 解決:RHEL-47019
 - ** 此 tarball 封鎖期限為 2024 年 7 月 16 日@中午 1 點 (太平洋時間)。 **

 [1:17.0.12.0.6-0.1.ea]
 - 新增 debuginfo 區段至 rpminspect.yaml (OPENJDK-2904)
 - 新增 unicode 區段至 rpminspect.yaml (OPENJDK-2904)

 [1:17.0.12.0.6-0.1.ea]
 - 新增可移除非法 RLO Unicode 字元的上游修補程式 (JDK-8332174)
 - 將可攜式規格檔的複本與最新更新同步

 [1:17.0.12.0.6-0.1.ea]
 - 刪除 fips-17u-d63771ea660.patch
 - 新增 fips-17u-e893be00150.patch
 - 將 fipsver 更新至 e893be00150

 [1:17.0.12.0.6-0.1.ea]
 - generate_source_tarball.sh針對 VCS 檔案使用 tar 排除選項
 - generate_source_tarball.sh改善 VCS 排除

 [1:17.0.12.0.6-0.1.ea]
 - generate_source_tarball.sh更新標頭中的範例以利釐清
 - generate_source_tarball.sh簽出已存在時發出的清理訊息
 - generate_source_tarball.sh使用 WITH_TEMP 時在 TMPDIR 中建立目錄
 - generate_source_tarball.sh:僅在非本機存放庫上新增 --depth=1
 - icedtea_sync.sh從 rhel-8.9.0 分支還原
 - 將維護指令碼移至指令碼子目錄
 -discover_trees.sh設定 Emacs 的編譯命令和縮排指示
 -discover_trees.sh:shellcheck:不使用 -o (SC2166)
 -discover_trees.shshellcheck移除 x-prefix因為我們使用的是 Bash (SC2268)
 -discover_trees.sh:shellcheck:雙引號變數參照 (SC2086)
 - generate_source_tarball.sh:新增作者身分
 - icedtea_sync.sh設定 Emacs 的編譯命令和縮排指示
 - icedtea_sync.shshellcheck雙引號變數參照 (SC2086)
 - icedtea_sync.shshellcheck移除 x-prefix因為我們使用的是 Bash (SC2268)
 - openjdk_news.sh設定 Emacs 的編譯命令和縮排指示
 - openjdk_news.shshellcheck雙引號變數參照 (SC2086)
 - openjdk_news.shshellcheck移除 x-prefix因為我們使用的是 Bash (SC2268)
 - openjdk_news.sh:shellcheck:移除過時的 egrep 使用方式 (SC2196)
 - generate_source_tarball.sh輸出新選項 WITH_TEMP 和 OPENJDK_LATEST 的值
 - generate_source_tarball.sh雙引號 DEPTH 參照 (SC2086)
 - generate_source_tarball.sh避免空 DEPTH 參照同時仍然安緩 shellcheck

 [1:17.0.12.0.6-0.1.ea]
 - jdk-17.0.12+6 的更新 (EA)
 - 將 openjdk-17.0.12+6-ea.tar.xz 新增至 .gitignore
 - 將 updatever 設為 12
 - 將 buildver 設為 6
 - 將 rpmrelease 設為 1
 - 將 is_ga 設為 0
 - 更新 openjdk-17.0.12+6-ea.tar.xz 的來源
 - 運行時間和 版本需要 tzdata-java 2024a (JDK-8325150)
 - 將隨附提供的 lcms2 更新至 2.16.0
 - 新增 zlib 1.3.1 隨附的 provides 和 zlib-devel 版本需求 (OPENJDK-3065)
 - 將指標不符標記為錯誤
 - 改為將 fix-me 註解變更為附註
 - 從 Fedora rawhide 同步 generate_source_tarball.sh

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2024-4568.html

Plugin 詳細資訊

嚴重性: Medium

ID: 202630

檔案名稱: oraclelinux_ELSA-2024-4568.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2024/7/18

已更新: 2025/9/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

CVSS v2

風險因素: Medium

基本分數: 4

時間性分數: 3

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2024-21145

CVSS v3

風險因素: Medium

基本分數: 4.8

時間性分數: 4.2

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:java-17-openjdk-demo, p-cpe:/a:oracle:linux:java-17-openjdk-jmods-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-demo-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-static-libs-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-jmods-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-static-libs-fastdebug, cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:java-17-openjdk-headless-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk, p-cpe:/a:oracle:linux:java-17-openjdk-headless-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-devel, p-cpe:/a:oracle:linux:java-17-openjdk-devel-slowdebug, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:java-17-openjdk-javadoc-zip, p-cpe:/a:oracle:linux:java-17-openjdk-static-libs, p-cpe:/a:oracle:linux:java-17-openjdk-headless, p-cpe:/a:oracle:linux:java-17-openjdk-jmods, p-cpe:/a:oracle:linux:java-17-openjdk-src-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-demo-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-devel-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-src-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-src, p-cpe:/a:oracle:linux:java-17-openjdk-javadoc

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/7/18

弱點發布日期: 2024/7/16

參考資訊

CVE: CVE-2024-21131, CVE-2024-21138, CVE-2024-21140, CVE-2024-21145, CVE-2024-21147