中危 Oracle Java SE和GraalVM Enterprise Edition输入验证错误漏洞(CVE-2022-21426)
CVE编号
CVE-2022-21426利用情况
暂无补丁情况
官方补丁披露时间
2022-04-22漏洞描述
Oracle GraalVM是美国甲骨文(Oracle)公司的一套使用Java语言编写的即时编译器。该产品支持多种编程语言和执行模式。GraalVM Enterprise Edition是GraalVM的企业版。 Oracle Java SE 7u331、8u321、11.0.14、17.0.2和18, Oracle GraalVM Enterprise Edition 20.3.5、21.3.1和22.0.0.2版本(组件: JAXP)存在输入验证错误漏洞。未经身份认证的攻击者可利用该漏洞通过多种协议进行网络访问,从而破坏Oracle Java SE和Oracle GraalVM Enterprise Edition,并导致拒绝服务。 受影响系统: Oracle Oracle Java SE 8u321 Oracle Oracle Java SE 7u331 Oracle Oracle Java SE 18 Oracle Oracle Java SE 17.0.2 Oracle Oracle Java SE 11.0.14 Oracle Oracle GraalVM Enterprise Edition 22.0.0.2 Oracle Oracle GraalVM Enterprise Edition 21.3.1 Oracle Oracle GraalVM Enterprise Edition 20.3.5解决建议
Oracle已经为此发布了一个安全公告(cpuapr2022)以及相应补丁:链接:https://www.oracle.com/security-alerts/cpuapr2022.html受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | oracle | graalvm | 20.3.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | graalvm | 21.3.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | graalvm | 22.0.0.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jdk | 1.7.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jdk | 1.8.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jdk | 11.0.14 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jdk | 17.0.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jdk | 18 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jre | 1.7.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jre | 1.8.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jre | 11.0.14 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jre | 17.0.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jre | 18 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | alibaba_cloud_linux_2.1903 | java-11-openjdk-demo | * | Up to (excluding) 1.8.0.332.b09-1.1.al7 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.15 | openjdk11 | * | Up to (excluding) 8.345.01-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.16 | openjdk11 | * | Up to (excluding) 13.0.11_p4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.17 | openjdk11 | * | Up to (excluding) 13.0.11_p4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.18 | openjdk11 | * | Up to (excluding) 13.0.11_p4-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_edge | openjdk11 | * | Up to (excluding) 8.345.01-r0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | amazon_2 | java-11-openjdk | * | Up to (excluding) 1.8.0-amazon-corretto-devel-1.8.0_332.b08-1.amzn2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | amazon_AMI | java-1.7.0-openjdk | * | Up to (excluding) 1.8.0-openjdk-devel-1.8.0.342.b07-0.68.amzn1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | anolis_os_7 | java-11-openjdk-demo-debug | * | Up to (excluding) 1.8.0.332 | |||||
| 运行在以下环境 | |||||||||
| 系统 | anolis_os_8 | java-17-openjdk-javadoc-zip | * | Up to (excluding) 11.0.15.0.9-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | centos_7 | java | * | Up to (excluding) 1.8.0.332.b09-1.el7_9 | |||||
| 运行在以下环境 | |||||||||
| 系统 | centos_8 | java-17-openjdk-headless-debuginfo | * | Up to (excluding) 1.8.0.332.b09-1.el8_5 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | openjdk-11 | * | Up to (excluding) 11.0.15+10-1~deb10u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | openjdk-11 | * | Up to (excluding) 11.0.15+10-1~deb11u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | openjdk-17 | * | Up to (excluding) 17.0.3+7-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | openjdk-8 | * | Up to (excluding) 8u332-ga-1~deb9u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | openjdk-11 | * | Up to (excluding) 11.0.15+10-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | kylinos_aarch64_V10SP2 | java-11-openjdk | * | Up to (excluding) 11.0.16.8-1.ky10 | |||||
| 运行在以下环境 | |||||||||
| 系统 | kylinos_x86_64_V10SP2 | java-11-openjdk | * | Up to (excluding) 11.0.16.8-1.ky10 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.3 | java-1_8_0-ibm-plugin | * | Up to (excluding) 11.0.15.0-150000.3.80.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.4 | java-1_8_0-ibm-plugin | * | Up to (excluding) 11.0.15.0-150000.3.80.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_7 | oraclelinux-release | * | Up to (excluding) 1.8.0.332.b09-1.el7_9 | |||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_8 | oraclelinux-release | * | Up to (excluding) 17.0.3.0.6-2.el8_5 | |||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_9 | oraclelinux-release | * | Up to (excluding) 11.0.15.0.10-1.el9_0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | redhat_7 | java-11-openjdk | * | Up to (excluding) 1.8.0-ibm-plugin-1.8.0.8.0-1jpp.1.el7 | |||||
| 运行在以下环境 | |||||||||
| 系统 | redhat_8 | java-17-openjdk-headless-debuginfo | * | Up to (excluding) 1.8.0.332.b09-1.el8_5 | |||||
| 运行在以下环境 | |||||||||
| 系统 | redhat_9 | java | * | Up to (excluding) 1.8.0-openjdk-headless-1.8.0.332.b09-1.el9_0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | suse_12_SP5 | java-1_8_0-ibm-alsa | * | Up to (excluding) 1.7.1_sr5.10-38.71.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_18.04 | openjdk-17 | * | Up to (excluding) 11.0.15+10-0ubuntu0.18.04.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_20.04 | openjdk-17 | * | Up to (excluding) 11.0.15+10-0ubuntu0.20.04.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_21.10 | openjdk-17 | * | Up to (excluding) 11.0.15+10-0ubuntu0.21.10.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_22.04 | openjdk-18 | * | Up to (excluding) 18.0.2+9-2~22.04 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_22.10 | openjdk-18 | * | Up to (excluding) 17.0.3+7-0ubuntu0.22.04.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | unionos_d | openjdk-11 | * | Up to (excluding) 11.0.16.1+8-1+dde | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 DoS
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论