IBM Java 7.1 < 7.1.5.29/8.0 < 8.0.8.60 多個弱點

medium Nessus Plugin ID 296417

語言:

概要

IBM Java 受到多個弱點影響。

說明

遠端主機上安裝的 IBM Java 版本為 7.1.5.29 之前的 7.1 / 8.0.8.60 之前的 8.0。因此，其會受到 2026 年 1 月 20 日 Oracle CPU 公告中提及的多個弱點影響。

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：AWT、JavaFX)。受影響的支援版本是 Oracle Java SE：8u471、8u471-b50、8u471-perf、11.0.29、17.0.17、21.0.9、25.0.1；Oracle GraalVM for JDK：17.0.17 和 21.0.9；
Oracle GraalVM 企業版：21.3.16。此弱點較易攻擊成功，能夠透過多個通訊協定存取網路的未經驗證攻擊者可惡意利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若要成功攻擊，必須有除攻擊者以外的他人互動，雖然此弱點位於 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版中，但攻擊可能對其他產品造成重大影響 (範圍變更)。成功攻擊此弱點可導致在未經授權的情況下，建立、刪除或修改重要資料或所有可存取的 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise 版本資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2026-21932)

- Oracle Java 21 中存在一個盲目伺服器端要求偽造 (SSRF) 弱點。非預設系統屬性 com.sun.security.enableAIAcaIssuers 設為 true 時，x509 憑證路徑驗證機制中存在的弱點會導致拒絕服務 (DoS)。(CVE-2026-21945)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Security)。受影響的支援版本是 Oracle Java SE：8u471、8u471-b50、8u471-perf、11.0.29、17.0.17、21.0.9、25.0.1；Oracle GraalVM for JDK：17.0.17 和 21.0.9；
Oracle GraalVM 企業版：21.3.16。此弱點較易攻擊成功，能夠透過多個通訊協定存取網路的未經驗證攻擊者可惡意利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。如果成功攻擊此弱點，攻擊者未經授權即可導致 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM 企業版懸置或經常重複性當機 (完全 DOS)。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2026-21945)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM Enterprise Edition 產品中的弱點 (元件：Networking)。受影響的支援版本是 Oracle Java SE：8u471、8u471-b50、8u471-perf、11.0.29、17.0.17、21.0.9、25.0.1；Oracle GraalVM for JDK：17.0.17 和 21.0.9；
Oracle GraalVM 企業版：21.3.16。此弱點較易攻擊成功，能夠透過多個通訊協定存取網路的未經驗證攻擊者可惡意利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若要成功攻擊，必須有除攻擊者以外的他人互動，雖然此弱點位於 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版中，但攻擊可能對其他產品造成重大影響 (範圍變更)。若攻擊成功，攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 的部分可存取資料，以及在未經授權的情況下讀取 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可存取資料的子集。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2026-21933)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：RMI)。受影響的支援版本是 Oracle Java SE：8u471、8u471-b50、8u471-perf、11.0.29、17.0.17、21.0.9、25.0.1；Oracle GraalVM for JDK：17.0.17 和 21.0.9；
Oracle GraalVM 企業版：21.3.16。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 的部分可存取資料，以及在未經授權的情況下讀取 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可存取資料的子集。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2026-21925)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。