Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jan 2024)

01月17日に四半期恒例のOracle Critical Patch UpdateでOracle Javaの脆弱性(CVE-2023-44487, CVE-2023-5072, CVE-2024-20932, CVE-2024-20918, CVE-2024-20952, CVE-2024-20919, CVE-2024-20921, CVE-2024-20926, CVE-2024-20945, CVE-2024-20955, CVE-2024-20923, CVE-2024-20925, CVE-2024-20922)が公開されました。今回はこちらのJavaの脆弱性についてまとめてみます。

[過去関連リンク(最新5件)]

• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2023)
• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Apr 2023)
• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Oct 2022)
• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2022)

関連するCVE

• CVE-2023-44487
• CVE-2023-5072
• CVE-2024-20932
• CVE-2024-20918
• CVE-2024-20952
• CVE-2024-20919
• CVE-2024-20921
• CVE-2024-20926
• CVE-2024-20945
• CVE-2024-20955
• CVE-2024-20923
• CVE-2024-20925
• CVE-2024-20922

情報源

Oracle Critical Patch Update Advisory – Jan 2024

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• CVE-2023-44487
  • 影響するバージョン：Oracle GraalVM for JDK: 21.0.1
  • サブコンポーネント: Node (Node.js)
  • CVSS 3.0 Base Score 7.5
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2023-5072
  • 影響するバージョン：Oracle GraalVM for JDK: 17.0.9, 21.0.1; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8, 22.3.4
  • サブコンポーネント: Tools (JSON-java)
  • CVSS 3.0 Base Score 7.5
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20932
  • 影響するバージョン：Oracle Java SE: 17.0.9; Oracle GraalVM for JDK: 17.0.9; Oracle GraalVM Enterprise Edition: 21.3.8, 22.3.4
  • サブコンポーネント: Security
  • CVSS 3.0 Base Score 7.5
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20918
  • 影響するバージョン：Oracle Java SE: 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1; Oracle GraalVM for JDK: 17.0.9, 21.0.1; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8, 22.3.4
  • サブコンポーネント: Hotspot
  • CVSS 3.0 Base Score 7.4
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20952
  • 影響するバージョン：Oracle Java SE: 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1; Oracle GraalVM for JDK: 17.0.9, 21.0.1; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8, 22.3.4
  • サブコンポーネント: Security
  • CVSS 3.0 Base Score 7.4
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20919
  • 影響するバージョン：Oracle Java SE: 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1; Oracle GraalVM for JDK: 17.0.9, 21.0.1; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8, 22.3.4
  • サブコンポーネント: Hotspot
  • CVSS 3.0 Base Score 5.9
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20921
  • 影響するバージョン：Oracle Java SE: 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1; Oracle GraalVM for JDK: 17.0.9, 21.0.1; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8, 22.3.4
  • サブコンポーネント: Hotspot
  • CVSS 3.0 Base Score 5.9
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20926
  • 影響するバージョン：Oracle Java SE: 8u391, 8u391-perf, 11.0.21; Oracle GraalVM for JDK: 17.0.9; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8, 22.3.4
  • サブコンポーネント: Scripting
  • CVSS 3.0 Base Score 5.9
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20945
  • 影響するバージョン：Oracle Java SE: 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1; Oracle GraalVM for JDK: 17.0.9, 21.0.1; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8, 22.3.4
  • サブコンポーネント: Security
  • CVSS 3.0 Base Score 4.7
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20955
  • 影響するバージョン：Oracle GraalVM for JDK: 17.0.9; Oracle GraalVM Enterprise Edition: 21.3.8, 22.3.4
  • サブコンポーネント: Compiler
  • CVSS 3.0 Base Score 3.7
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20923
  • 影響するバージョン：Oracle Java SE: 8u391; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8
  • サブコンポーネント: JavaFX
  • CVSS 3.0 Base Score 3.1
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20925
  • 影響するバージョン：Oracle Java SE: 8u391; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8
  • サブコンポーネント: JavaFX
  • CVSS 3.0 Base Score 3.1
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-20922
  • 影響するバージョン：Oracle Java SE: 8u391; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8
  • サブコンポーネント: JavaFX
  • CVSS 3.0 Base Score 2.5
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2023-44487
  • https://security-tracker.debian.org/tracker/CVE-2023-5072
  • https://security-tracker.debian.org/tracker/CVE-2024-20932
  • https://security-tracker.debian.org/tracker/CVE-2024-20918
  • https://security-tracker.debian.org/tracker/CVE-2024-20952
  • https://security-tracker.debian.org/tracker/CVE-2024-20919
  • https://security-tracker.debian.org/tracker/CVE-2024-20921
  • https://security-tracker.debian.org/tracker/CVE-2024-20926
  • https://security-tracker.debian.org/tracker/CVE-2024-20945
  • https://security-tracker.debian.org/tracker/CVE-2024-20955
  • https://security-tracker.debian.org/tracker/CVE-2024-20923
  • https://security-tracker.debian.org/tracker/CVE-2024-20925
  • https://security-tracker.debian.org/tracker/CVE-2024-20922
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2023-44487
  • https://access.redhat.com/security/cve/CVE-2023-5072
  • https://access.redhat.com/security/cve/CVE-2024-20932
  • https://access.redhat.com/security/cve/CVE-2024-20918
  • https://access.redhat.com/security/cve/CVE-2024-20952
  • https://access.redhat.com/security/cve/CVE-2024-20919
  • https://access.redhat.com/security/cve/CVE-2024-20921
  • https://access.redhat.com/security/cve/CVE-2024-20926
  • https://access.redhat.com/security/cve/CVE-2024-20945
  • https://access.redhat.com/security/cve/CVE-2024-20955
  • https://access.redhat.com/security/cve/CVE-2024-20923
  • https://access.redhat.com/security/cve/CVE-2024-20925
  • https://access.redhat.com/security/cve/CVE-2024-20922
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2023-44487.html
  • https://www.suse.com/security/cve/CVE-2023-5072.html
  • https://www.suse.com/security/cve/CVE-2024-20932.html
  • https://www.suse.com/security/cve/CVE-2024-20918.html
  • https://www.suse.com/security/cve/CVE-2024-20952.html
  • https://www.suse.com/security/cve/CVE-2024-20919.html
  • https://www.suse.com/security/cve/CVE-2024-20921.html
  • https://www.suse.com/security/cve/CVE-2024-20926.html
  • https://www.suse.com/security/cve/CVE-2024-20945.html
  • https://www.suse.com/security/cve/CVE-2024-20955.html
  • https://www.suse.com/security/cve/CVE-2024-20923.html
  • https://www.suse.com/security/cve/CVE-2024-20925.html
  • https://www.suse.com/security/cve/CVE-2024-20922.html
• Ubuntu
  • https://ubuntu.com/security/CVE-2023-44487
  • https://ubuntu.com/security/CVE-2023-5072
  • https://ubuntu.com/security/CVE-2024-20932
  • https://ubuntu.com/security/CVE-2024-20918
  • https://ubuntu.com/security/CVE-2024-20952
  • https://ubuntu.com/security/CVE-2024-20919
  • https://ubuntu.com/security/CVE-2024-20921
  • https://ubuntu.com/security/CVE-2024-20926
  • https://ubuntu.com/security/CVE-2024-20945
  • https://ubuntu.com/security/CVE-2024-20955
  • https://ubuntu.com/security/CVE-2024-20923
  • https://ubuntu.com/security/CVE-2024-20925
  • https://ubuntu.com/security/CVE-2024-20922

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• Oracle Critical Patch Update Advisory – Jan 2024