Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Oct 2024)

10月16日に四半期恒例のOracle Critical Patch UpdateでOracle Javaの脆弱性(CVE-2024-36138, CVE-2023-42950, CVE-2024-25062, CVE-2024-21235, CVE-2024-21210, CVE-2024-21211, CVE-2024-21208, CVE-2024-21217)が公開されました。今回はこちらのJavaの脆弱性についてまとめてみます。

[過去関連リンク(最新5件)]

• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jan 2024)
• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2023)
• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Apr 2023)
• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Oct 2022)
• Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory – Jul 2022)

一次情報源

• Oracle Critical Patch Update Advisory – Oct 2024

関連するCVE

• CVE-2024-36138
• CVE-2023-42950
• CVE-2024-25062
• CVE-2024-21235
• CVE-2024-21210
• CVE-2024-21211
• CVE-2024-21208
• CVE-2024-21217

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• CVE-2024-36138
  • 影響するバージョン：Oracle GraalVM for JDK: 17.0.12, 21.0.4, 23
  • サブコンポーネント: Node (Node.js)
  • CVSS 3.1 Base Score 8.1
  • CVSS Vector:  CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Node.jsの脆弱性になります。
• CVE-2023-42950
  • 影響するバージョン：Oracle Java SE: 8u421; Oracle GraalVM Enterprise Edition: 20.3.15, 21.3.11
  • サブコンポーネント: JavaFX (WebKitGTK)
  • CVSS 3.1 Base Score 7.5
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-25062
  • 影響するバージョン：Oracle Java SE: 8u421; Oracle GraalVM Enterprise Edition: 20.3.15, 21.3.11
  • サブコンポーネント: JavaFX (libxml2)
  • CVSS 3.1 Base Score 7.5
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-21235
  • 影響するバージョン：Oracle Java SE: 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23; Oracle GraalVM for JDK: 17.0.12, 21.0.4, 23; Oracle GraalVM Enterprise Edition: 20.3.15, 21.3.11
  • サブコンポーネント: Hotspot
  • CVSS 3.1 Base Score 4.8
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-21210
  • 影響するバージョン：Oracle Java SE: 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23
  • サブコンポーネント: Hotspot
  • CVSS 3.1 Base Score 3.7
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-21211
  • 影響するバージョン：Oracle Java SE: 23; Oracle GraalVM for JDK: 17.0.12, 21.0.4, 23; Oracle GraalVM Enterprise Edition: 20.3.15, 21.3.11
  • サブコンポーネント: Compiler
  • CVSS 3.1 Base Score 3.7
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-21208
  • 影響するバージョン：Oracle Java SE: 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23; Oracle GraalVM for JDK: 17.0.12, 21.0.4, 23; Oracle GraalVM Enterprise Edition: 20.3.15, 21.3.11
  • サブコンポーネント: Networking
  • CVSS 3.1 Base Score 3.7
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。
• CVE-2024-21217
  • 影響するバージョン：Oracle Java SE: 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23; Oracle GraalVM for JDK: 17.0.12, 21.0.4, 23; Oracle GraalVM Enterprise Edition: 20.3.15, 21.3.11
  • サブコンポーネント: Serialization
  • CVSS 3.1 Base Score 3.7
  • CVSS Vector: 元情報参照
  • 情報は詳細が分かり次第更新します。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-36138
  • https://security-tracker.debian.org/tracker/CVE-2023-42950
  • https://security-tracker.debian.org/tracker/CVE-2024-25062
  • https://security-tracker.debian.org/tracker/CVE-2024-21235
  • https://security-tracker.debian.org/tracker/CVE-2024-21210
  • https://security-tracker.debian.org/tracker/CVE-2024-21211
  • https://security-tracker.debian.org/tracker/CVE-2024-21208
  • https://security-tracker.debian.org/tracker/CVE-2024-21217
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2024-36138
  • https://access.redhat.com/security/cve/CVE-2023-42950
  • https://access.redhat.com/security/cve/CVE-2024-25062
  • https://access.redhat.com/security/cve/CVE-2024-21235
  • https://access.redhat.com/security/cve/CVE-2024-21210
  • https://access.redhat.com/security/cve/CVE-2024-21211
  • https://access.redhat.com/security/cve/CVE-2024-21208
  • https://access.redhat.com/security/cve/CVE-2024-21217
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2024-36138.html
  • https://www.suse.com/security/cve/CVE-2023-42950.html
  • https://www.suse.com/security/cve/CVE-2024-25062.html
  • https://www.suse.com/security/cve/CVE-2024-21235.html
  • https://www.suse.com/security/cve/CVE-2024-21210.html
  • https://www.suse.com/security/cve/CVE-2024-21211.html
  • https://www.suse.com/security/cve/CVE-2024-21208.html
  • https://www.suse.com/security/cve/CVE-2024-21217.html
• Ubuntu
  • https://ubuntu.com/security/CVE-2024-36138
  • https://ubuntu.com/security/CVE-2023-42950
  • https://ubuntu.com/security/CVE-2024-25062
  • https://ubuntu.com/security/CVE-2024-21235
  • https://ubuntu.com/security/CVE-2024-21210
  • https://ubuntu.com/security/CVE-2024-21211
  • https://ubuntu.com/security/CVE-2024-21208
  • https://ubuntu.com/security/CVE-2024-21217

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• Oracle Critical Patch Update Advisory – Oct 2024