Ubuntu 25.10 / 26.04 LTS:CRaC JDK 25 漏洞 (USN-8334-1)
high Nessus 插件 ID 318103
语言:
简介
远程 Ubuntu 主机缺少一个或多个安全更新。描述
远程 Ubuntu 25.10 / 26.04 LTS 主机上存在安装的程序包,该程序包受到公告中 USN-8334-1 提及的多个漏洞的影响。Thomas Beckers 发现 CRaC JDK 25 的 JAXP 组件未正确认证某些 API。未经身份验证的远程攻击者可能会利用此问题来获得对敏感信息的未经授权的访问权限。(CVE-2026-22016)
发现 CRaC JDK 25 的 Networking 组件未能正确验证某些 API。未经认证的远程攻击者可能利用此问题造成拒绝服务。
(CVE-2026-34282)
已发现 CRaC JDK 25 的 JSSE 组件未正确认证某些 API。未经认证的远程攻击者可能利用此问题造成拒绝服务。
(CVE-2026-22021)
已发现 CRaC JDK 25 的组件 JGSS 未正确认证某些 API。远程攻击者可能会利用此问题来获取敏感信息。(CVE-2026-22013)
已发现 CRaC JDK 25 的 2D 组件未正确处理某些整数算法。如果用户或自动化系统受到诱骗打开特制的文件,攻击者可能利用此问题泄露敏感信息。(CVE-2026-23865)
已发现 CRaC JDK 25 的 Libraries 组件未正确认证某些 API。
未经身份验证的远程攻击者可利用此问题造成拒绝服务或获取未经授权的数据权限修改。(CVE-2026-22008, CVE-2026-22018)
Ken Pyle 发现 CRaC JDK 25 的安全组件未正确认证某些 API。本地攻击者可能利用此问题泄露敏感信息。(CVE-2026-22007, CVE-2026-34268)
除了安全补丁,这些更新后的程序包还包含缺陷补丁、新功能,并且可能包含不兼容的更改。
如需详细信息,请参阅下列网页:
https://openjdk.org/groups/vulnerability/advisories/2026-04-21
Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 318103
文件名: ubuntu_USN-8334-1.nasl
版本: 1.1
类型: Local
代理: unix
发布时间: 2026/6/1
最近更新时间: 2026/6/1
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2026-22016
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:openjdk-25-crac-jdk, p-cpe:/a:canonical:ubuntu_linux:openjdk-25-crac-jre-headless, p-cpe:/a:canonical:ubuntu_linux:openjdk-25-crac-testsupport, p-cpe:/a:canonical:ubuntu_linux:openjdk-25-crac-jre-zero, cpe:/o:canonical:ubuntu_linux:25.10, p-cpe:/a:canonical:ubuntu_linux:openjdk-25-crac-jdk-headless, p-cpe:/a:canonical:ubuntu_linux:openjdk-25-crac-demo, p-cpe:/a:canonical:ubuntu_linux:openjdk-25-crac-jre, cpe:/o:canonical:ubuntu_linux:26.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:openjdk-25-crac-source
必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
易利用性: No known exploits are available
补丁发布日期: 2026/5/28
漏洞发布日期: 2026/3/2
参考资料信息
CVE: CVE-2026-22007, CVE-2026-22008, CVE-2026-22013, CVE-2026-22016, CVE-2026-22018, CVE-2026-22021, CVE-2026-23865, CVE-2026-34268, CVE-2026-34282
USN: 8334-1