检测

Oracle Linux 7:java-1.8.0-openjdk (ELSA-2024-1817)

low Nessus 插件 ID 193428

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 7 主机上安装的多个程序包受到 ELSA-2024-1817 公告中提及的多个漏洞影响。

 [1:1.8.0.412.b08-1]
 - 更新到 shenandoah-jdk8u412-b08 (GA)
 - 更新 shenandoah-8u412-b08 的发行说明。
 - Certainly roots 的完整发行说明
 - 切换到 GA 模式。
 - **在太平洋时间 2025 年 4 月 16 日下午 1 点前禁止使用此 tarball。**
 - 相关:RHEL-30926

 [1:1.8.0.412.b07-0.1.ea]
 - 更新到 shenandoah-jdk8u412-b07 (EA)
 - 更新 shenandoah-8u412-b07 的发行说明。
 - 由于上游包含 JDK-8322725,所以需要 tzdata 2024a
 - 目前仅需要 tzdata 2023d,因为 2024a 在 buildroot 中不可用
 - 已解决:RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - 关闭 i686 上的 xz 多线程,因为它因内存不足错误而失败
 - 规范化空格
 - 移至上游标签样式 (shenandoah8ux-by) 以准备最终移回官方来源
 - generate_source_tarball.sh:将 JCONSOLE_JS_PATCH{,_DEFAULT} 重命名为 JCONSOLE_PATCH{,_DEFAULT}
 - generate_source_tarball.sh:调整 OPENJDK_LATEST 逻辑,以与 8u Shenandoah 分支配合使用
 - generate_source_tarball.sh:调整版本逻辑,以与 8u 分支配合使用
 - generate_source_tarball.sh:添加 SCRIPT_DIR 和 JCONSOLE_PATCH 的引用 (SC2086)
 - generate_source_tarball.sh:更新标头中的示例以增加清晰度
 - generate_source_tarball.sh:使用 WITH_TEMP 时,在 TMPDIR 中创建目录
 - generate_source_tarball.sh:仅在非本地存储库中添加 --depth=1
 - 将维护脚本移至脚本子目录
 - icedtea_sync.sh:使用从 Mercurial 存储库检索源的 VCS 模式进行更新
 - jconsole.desktop.in:通过运行 icedtea_sync.sh 进行还原
 - policytool.desktop.in:同理。
 - 在 spec 文件中正确还原 IcedTea 源
 - discover_trees.sh:设置 Emacs 的编译命令和缩进指令
 - discover_trees.sh:shellcheck:不使用 -o (SC2166)
 - discover_trees.sh:shellcheck:删除使用 Bash 以来的 x-前缀 (SC2268)
 - discover_trees.sh:shellcheck:将变量引用用双引号括起来 (SC2086)
 - generate_source_tarball.sh:添加作者身份
 - icedtea_sync.sh:设置 Emacs 的编译命令和缩进指令
 - icedtea_sync.sh:shellcheck:将变量引用用双引号括起来 (SC2086)
 - icedtea_sync.sh:shellcheck:删除使用 Bash 以来的 x-前缀 (SC2268)
 - openjdk_news.sh:设置 Emacs 的编译命令和缩进指令
 - openjdk_news.sh:shellcheck:将变量引用用双引号括起来 (SC2086)
 - openjdk_news.sh:shellcheck:删除使用 Bash 以来的 x-前缀 (SC2268)
 - openjdk_news.sh:shellcheck:删除弃用的 egrep 使用情况 (SC2196)
 - generate_source_tarball.sh:处理现有检出
 - generate_source_tarball.sh:同步缩进与 java-21-openjdk 版本
 - generate_source_tarball.sh:支持通过 TO_COMPRESS 使用子目录
 - 相关:RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - 在多线程模式中调用 xz
 - generate_source_tarball.sh:添加 WITH_TEMP 环境变量
 - generate_source_tarball.sh:所有可用核心上的多线程 xz
 - generate_source_tarball.sh:添加 OPENJDK_LATEST 环境变量
 - generate_source_tarball.sh:更新有关 tarball 命名的注释
 - generate_source_tarball.sh:重新格式化注释标头
 - generate_source_tarball.sh:重新格式化并更新帮助输出
 - generate_source_tarball.sh:执行浅克隆以提高速度
 - generate_source_tarball.sh:消除某些删除提示
 - generate_source_tarball.sh:使 tarball 可重现
 - generate_source_tarball.sh:为临时目录加上 temp-
 - generate_source_tarball.sh:删除临时目录退出条件
 - generate_source_tarball.sh:在 Emacs 中设置编译命令
 - generate_source_tarball.sh:从 FILE_NAME_ROOT 中删除 REPO_NAME
 - generate_source_tarball.sh:移动 PROJECT_NAME 和 REPO_NAME 检查
 - generate_source_tarball.sh: shellcheck:shellcheck:删除使用 Bash 以来的 x-前缀 (SC2268)
 - generate_source_tarball.sh: shellcheck:shellcheck:将变量引用用双引号括起来 (SC2086)
 - generate_source_tarball.sh:shellcheck:不使用 -a (SC2166)
 - generate_source_tarball.sh:shellcheck:不在算法变量上使用 $ (SC2004)
 - 使用向后兼容的修补程序语法
 - generate_source_tarball.sh:忽略带有 OPENJDK_LATEST 的 -ga 标签
 - generate_source_tarball.sh:删除 echo 中的末尾句点
 - generate_source_tarball.sh:将长样式参数用于 grep
 - generate_source_tarball.sh:添加许可证
 - generate_source_tarball.sh:添加针对 Emacs 的缩进说明
 - 从 systemtap tar 调用中删除 -T0 参数
 - 相关:RHEL-30926

 [1:1.8.0.412.b01-0.1.ea]
 - 更新到 shenandoah-jdk8u412-b01 (EA)
 - 更新 shenandoah-8u412-b01 的发行说明。
 - 切换到 EA 模式。
 - 相关:RHEL-30926

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2024-1817.html

插件详情

严重性: Low

ID: 193428

文件名: oraclelinux_ELSA-2024-1817.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2024/4/17

最近更新时间: 2025/9/9

支持的传感器: Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-21094

CVSS v3

风险因素: Low

基本分数: 3.7

时间分数: 3.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:java-1.8.0-openjdk, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-src, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-accessibility, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-demo, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-headless, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-javadoc-zip, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-devel, p-cpe:/a:oracle:linux:java-1.8.0-openjdk-javadoc

必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

易利用性: No known exploits are available

补丁发布日期: 2024/4/17

漏洞发布日期: 2024/4/16

参考资料信息

CVE: CVE-2024-21011, CVE-2024-21068, CVE-2024-21085, CVE-2024-21094