IBM Java 7.1 < 7.1.5.26/8.0 < 8.0.8.45 多個弱點

high Nessus Plugin ID 236760

語言:

概要

IBM Java 受到多個弱點影響。

說明

遠端主機上安裝的 IBM Java 版本為 7.1.5.26 之前的 7.1 / 8.0.8.45 之前的 8.0。因此，其會受到 2025 年 4 月 15 日 Oracle CPU 公告中提及的多個弱點影響。

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：JSSE)。受影響的支援版本是 Oracle Java SE：8u441、8u441-perf、11.0.26、17.0.14、21.0.6、24；Oracle GraalVM for JDK:17.0.14、21.0.6、24；Oracle GraalVM Enterprise Edition:20.3.17 和 21.3.13。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。成功攻擊此弱點可導致未經授權便能建立、刪除或修改重要資料或所有可供存取之 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版資料的存取權，以及未經授權地存取重要資料或能完全存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版的可存取資料。
注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼) 並且依賴 Java 沙箱獲得安全性的 Java 部署，這通常是在於沙箱中執行的 Java Web Start 應用程式或於沙箱中執行的 Java Applet 用戶端中。
(CVE-2025-21587)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：2D)。受影響的支援版本是 Oracle Java SE：8u441、8u441-perf、11.0.26、17.0.14、21.0.6、24；Oracle GraalVM for JDK：17.0.14、21.0.6、24；Oracle GraalVM Enterprise Edition：20.3.17 和 21.3.13。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 的部分可存取資料，以及在未經授權的情況下讀取 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可存取資料的子集，並且能夠在未經授權的情況下造成 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 拒絕服務 (部分 DOS)。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2025-30698)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。