偵測

Oracle Linux 10 / 8 / 9:java-21-openjdk (ELSA-2025-10873)

high Nessus Plugin ID 243004

語言:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 10 / 8 / 9 主機中安裝的套件受到 ELSA-2025-10873 公告中提及的多個弱點影響。

 [1:21.0.8.0.9-1.0.1]
 - 新增 Oracle 供應商錯誤 URL [Orabug: 34340155]

 [1:21.0.8.0.9-1.1]
 - 更新至 jdk-21.0.8+9 (GA)
 - 更新 21.0.8+9 的版本資訊
 - 切換至 GA 模式
 - 將可攜式規格檔的複本與最新更新同步
 - ** 此 tarball 的封鎖禁令將持續至 2025 年 7 月 15 日太平洋時間下午 1 點。 **
 - 解決:RHEL-102278

 [1:21.0.8.0.8-0.1.ea]
 - 更新至 jdk-21.0.8+8 (EA)
 - 更新 21.0.8+8 的版本資訊
 - 將可攜式規格檔的複本與最新更新同步
 - 解決:RHEL-101799

 [1:21.0.8.0.2-0.1.ea]
 - 更新至 jdk-21.0.8+2 (EA)
 - 更新 21.0.8+2 的版本資訊
 - 將可攜式規格檔的複本與最新更新同步
 - 將時區資料更新檢查新增至 openjdk_news.sh
 - 將重複檢查新增至 openjdk_news.sh
 - 若未取得修正則結束,而非嘗試執行 openjdk_news.sh 中的篩選器
 - 相關項目:RHEL-101799
 - 解決:RHEL-103210

 [1:21.0.8.0.1-0.1.ea]
 - 更新 get_bundle_versions.sh 以符合其他指令碼
 - * get_bundle_versions.sh:新增授權
 - * get_bundle_versions.sh:在 Emacs 中設定編譯命令
 - * get_bundle_versions.sh:針對不同的失敗使用不同的錯誤碼
 - * get_bundle_versions.sh:移除 JPEG 版本中不需要的「.」
 - * get_bundle_versions.sh:shellcheck:雙引號變數參照 (SC2086)
 - * get_bundle_versions.sh: shellcheck:中斷使用 cat 並將檔案直接傳送至 awk (SC2002)
 - 將 OpenJDK 8u 支援新增至 get_bundle_versions.sh
 - 在 openjdk_news.sh 輸出結尾列印套件更新和取消
 - openjdk_news.sh 發現套件更新時,將使用者引至 get_bundle_versions.sh
 - 相關項目:RHEL-103210

 [1:21.0.8.0.1-0.1.ea]
 - 新增指令碼以便從 OpenJDK 來源取得隨附程式庫版本
 - 相關項目:RHEL-103210

 [1:21.0.8.0.1-0.1.ea]
 - 針對 openjdk_news.sh 中的隨附提供版本升級和取消發出警告
 - 相關項目:RHEL-103210

 [1:21.0.8.0.1-0.1.ea]
 - 更新至 jdk-21.0.8+1 (EA)
 - 將版本資訊更新為 21.0.8+1
 - 遵循 JDK-8348596 將 freetype 版本升級至 2.13.3
 - 遵循 JDK-8348597 將 harfbuzz 版本升級至 10.4.0
 - 遵循 JDK-8348110 將 lcms2 版本升級至 2.17.0
 - 循環 JDK-8348598 將 libpng 版本升級至 1.6.47
 - 切換至 EA 模式
 - 中斷 JDK-8351500 本機修補程式,其目前已在 21.0.8+1 上游中提供
 - 將可攜式規格檔的複本與最新更新同步
 - 相關項目:RHEL-101799

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2025-10873.html

Plugin 詳細資訊

嚴重性: High

ID: 243004

檔案名稱: oraclelinux_ELSA-2025-10873.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2025/7/30

已更新: 2025/7/30

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.6

時間性分數: 5.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-50106

CVSS v3

風險因素: High

基本分數: 8.1

時間性分數: 7.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:java-21-openjdk-jmods-slowdebug, p-cpe:/a:oracle:linux:java-21-openjdk-src, cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:java-21-openjdk-slowdebug, p-cpe:/a:oracle:linux:java-21-openjdk-devel, p-cpe:/a:oracle:linux:java-21-openjdk-demo-fastdebug, p-cpe:/a:oracle:linux:java-21-openjdk-javadoc, p-cpe:/a:oracle:linux:java-21-openjdk-static-libs-slowdebug, p-cpe:/a:oracle:linux:java-21-openjdk-jmods, p-cpe:/a:oracle:linux:java-21-openjdk-javadoc-zip, p-cpe:/a:oracle:linux:java-21-openjdk-devel-slowdebug, p-cpe:/a:oracle:linux:java-21-openjdk-headless-slowdebug, p-cpe:/a:oracle:linux:java-21-openjdk-src-fastdebug, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:java-21-openjdk-demo-slowdebug, p-cpe:/a:oracle:linux:java-21-openjdk-static-libs-fastdebug, p-cpe:/a:oracle:linux:java-21-openjdk-src-slowdebug, p-cpe:/a:oracle:linux:java-21-openjdk-static-libs, p-cpe:/a:oracle:linux:java-21-openjdk, p-cpe:/a:oracle:linux:java-21-openjdk-fastdebug, p-cpe:/a:oracle:linux:java-21-openjdk-devel-fastdebug, p-cpe:/a:oracle:linux:java-21-openjdk-demo, p-cpe:/a:oracle:linux:java-21-openjdk-headless-fastdebug, p-cpe:/a:oracle:linux:java-21-openjdk-headless, cpe:/o:oracle:linux:10, p-cpe:/a:oracle:linux:java-21-openjdk-jmods-fastdebug

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/7/29

弱點發布日期: 2025/7/15

參考資訊

CVE: CVE-2025-30749, CVE-2025-30754, CVE-2025-50059, CVE-2025-50106