检测

Oracle Linux 8/9:java-17-openjdk (ELSA-2024-4568)

medium Nessus 插件 ID 202630

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 8/9 主机上安装的多个程序包受到 ELSA-2024-4568 公告中提及的多个漏洞影响。

 [1:17.0.12.0.7-2.0.1]
 - 添加 Oracle 供应商缺陷 URL

 [1:17.0.12.0.7-2]
 - 更新到 jdk-17.0.12+7 (GA)
 - 更新 .gitignore 以忽略 openjdk-17.0.12+7.tar.xz
 - 同步 java-17-openjdk-portable.specfile
 - 将 buildver 设置为 7
 - 设置 portablerelease 1
 - 将 is_ga 设置为 1
 - 更新 openjdk-17.0.12+7.tar.xz 的来源
 - 已解决:RHEL-46641
 - 已解决:RHEL-47019
 - ** 太平洋时间 2024 年 7 月 16 日下午 1 点前此 tarball 禁止使用。 **

 [1:17.0.12.0.6-0.1.ea]
 - 添加 debuginfo 部分到 rpminspect.yaml (OPENJDK-2904)
 - 添加 unicode 部分到 rpminspect.yaml (OPENJDK-2904)

 [1:17.0.12.0.6-0.1.ea]
 - 添加用于删除非法 RLO Unicode 字符的上游修补程序 (JDK-8332174)
 - 将可移植 spec 文件的副本与最新更新同步

 [1:17.0.12.0.6-0.1.ea]
 - 删除 fips-17u-d63771ea660.patch
 - 添加 fips-17u-e893be00150.patch
 - 将 fipsver 更新到 e893be00150

 [1:17.0.12.0.6-0.1.ea]
 - generate_source_tarball.sh对 VCS 文件使用 tar 排除选项
 - generate_source_tarball.sh改进 VCS 排除

 [1:17.0.12.0.6-0.1.ea]
 - generate_source_tarball.sh:更新标头中的示例以增加清晰度
 - generate_source_tarball.sh当签出已存在时发出清理消息
 - generate_source_tarball.sh使用 WITH_TEMP 时在 TMPDIR 中创建目录
 - generate_source_tarball.sh:仅在非本地存储库中添加 --depth=1
 - icedtea_sync.sh从 rhel-8.9.0 分支恢复
 - 将维护脚本移至脚本子目录
 -发现_trees.sh为 Emacs 设置编译命令和缩进指令
 - discover_trees.sh:shellcheck:不使用 -o (SC2166)
 -发现_trees.shshellcheck删除 x 前缀因为我们使用 Bash (SC2268)
 -发现_trees.shshellcheck双引号变量引用 (SC2086)
 - generate_source_tarball.sh添加作者身份
 - icedtea_sync.sh设置 Emacs 的编译命令和缩进指令
 - icedtea_sync.shshellcheck双引号变量引用 (SC2086)
 - icedtea_sync.shshellcheck删除由于我们使用 Bash 造成的 x 前缀 (SC2268)
 - openjdk_news.sh为 Emacs 设置编译命令和缩进指令
 - openjdk_news.shshellcheck双引号变量引用 (SC2086)
 - openjdk_news.shshellcheck删除由于我们使用 Bash 造成的 x 前缀 (SC2268)
 - openjdk_news.sh:shellcheck:删除弃用的 egrep 使用情况 (SC2196)
 - generate_source_tarball.sh新选项 WITH_TEMP 和 OPENJDK_LATEST 的输出值
 - generate_source_tarball.sh双引号 DEPTH 引用 (SC2086)
 - generate_source_tarball.sh仍然安定 shellcheck 时避免空 DEPTH 引用

 [1:17.0.12.0.6-0.1.ea]
 - 更新到 jdk-17.0.12+6 (EA)
 - 将 openjdk-17.0.12+6-ea.tar.xz 添加到 .gitignore
 - 将 updatever 设置为 12
 - 将 buildver 设置为 6
 - 将 rpmrelease 设置为 1
 - 将 is_ga 设置为 0
 - 更新 openjdk-17.0.12+6-ea.tar.xz 的来源
 - 在运行时和构建 时需要 tzdata-java 2024a (JDK-8325150)
 - 将 lcms2 捆绑产品更新到 2.16.0
 - 添加捆绑的 zlib 1.3.1 提供程序和 zlib-devel 构建要求 (OPENJDK-3065)
 - 将指示符不匹配标记为错误
 - 将 fix-me 注释更改为注释
 - 从 Fedora rawhide 同步 generate_source_tarball.sh

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2024-4568.html

插件详情

严重性: Medium

ID: 202630

文件名: oraclelinux_ELSA-2024-4568.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2024/7/18

最近更新时间: 2025/9/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2024-21145

CVSS v3

风险因素: Medium

基本分数: 4.8

时间分数: 4.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:java-17-openjdk-demo, p-cpe:/a:oracle:linux:java-17-openjdk-jmods-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-demo-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-static-libs-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-jmods-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-static-libs-fastdebug, cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:java-17-openjdk-headless-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk, p-cpe:/a:oracle:linux:java-17-openjdk-headless-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-devel, p-cpe:/a:oracle:linux:java-17-openjdk-devel-slowdebug, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:java-17-openjdk-javadoc-zip, p-cpe:/a:oracle:linux:java-17-openjdk-static-libs, p-cpe:/a:oracle:linux:java-17-openjdk-headless, p-cpe:/a:oracle:linux:java-17-openjdk-jmods, p-cpe:/a:oracle:linux:java-17-openjdk-src-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-demo-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-devel-fastdebug, p-cpe:/a:oracle:linux:java-17-openjdk-src-slowdebug, p-cpe:/a:oracle:linux:java-17-openjdk-src, p-cpe:/a:oracle:linux:java-17-openjdk-javadoc

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2024/7/18

漏洞发布日期: 2024/7/16

参考资料信息

CVE: CVE-2024-21131, CVE-2024-21138, CVE-2024-21140, CVE-2024-21145, CVE-2024-21147