检测

Azul Zulu Java 多个漏洞 (2026 年 1 月 20 日)

high Nessus 插件 ID 294803

语言:

简介

Azul Zulu OpenJDK 受到多个漏洞的影响。

描述

远程主机上安装的 Azul Zulu 版本为低于 6.77.0.12 的 6/低于 7.83.0.12 的 7/低于 8.91.0.12 的 8/低于 11.85.12 的 11/低于 17.63.12 的 17/低于 21.47.14 的 21/低于 25.31.14 的 25。因此,它受到 2026-01-20 公告中提及的多个漏洞影响。

 - 向字符串添加数据时,在 GLib 的 GString 管理内存的方式中发现一个缺陷。当字符串本身已非常大时,若继续合并更多输入,可能在大小计算过程中发生隐藏的溢出问题。这会导致系统误以为有足够的内存,而实际却没有。结果可能会出现数据写入超出已分配内存范围的情况,从而导致程序崩溃或内存损坏。(CVE-2025-6052)

 - 在 libxml2 的 xmlBuildQName 函数中发现一个缺陷,其中缓冲区大小计算中的整数溢出问题可导致基于堆栈的缓冲区溢出。在处理构建的输入时,此问题可导致内存损坏或拒绝服务。(CVE-2025-6021)

 - 在 libxslt 中发现缺陷,该缺陷以破坏内部内存管理的方式修改了属性类型 (atype) 标志。当 key() 进程等 XSLT 函数生成树碎片时,此内存损坏问题会阻碍 ID 属性的正确清理。因此,系统可能访问已释放的内存,造成崩溃,或让攻击者能够触发堆损坏。(CVE-2025-7425)

 - 已通过改进内存管理解决释放后使用问题。此问题已在 Safari 26、iOS 26 和 iPadOS 26 中修复。处理恶意构建的 Web 内容可能导致 Safari 意外崩溃。
 (CVE-2025-43368)

 - 在 GStreamer 1.26.1 及之前的版本中,isomp4 插件的 qtdemux_parse_trak 函数在解析 MP4 文件时的读取范围可能会超过堆缓冲区的终点,从而可能导致信息泄露。(CVE-2025-47219)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

根据 2026 年 1 月 Azul Zulu OpenJDK 补丁更新公告,应用相应的补丁。

另见

https://docs.azul.com/core/release/january-2026/release-notes

插件详情

严重性: High

ID: 294803

文件名: azul_zulu_25_32_17.nasl

版本: 1.2

类型: Local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2026/1/21

最近更新时间: 2026/2/4

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.1

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 6.1

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS 分数来源: CVE-2026-21932

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2025-6052

漏洞信息

CPE: cpe:/a:azul:zulu

必需的 KB 项: installed_sw/Java

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/1/20

漏洞发布日期: 2025/6/10

参考资料信息

CVE: CVE-2025-43368, CVE-2025-47219, CVE-2025-6021, CVE-2025-6052, CVE-2025-7425, CVE-2026-21925, CVE-2026-21932, CVE-2026-21933, CVE-2026-21945, CVE-2026-21947