INFSA-2025:7508: Устранение уязвимостей java-21-openjdk

Информация о бюллетене

Идентификатор: INFSA-2025:7508

Тип: устранение уязвимостей

Дата публикации: 2025-07-17 21:41:18 UTC

Информация о пакете

Среда выполнения OpenJDK 21.

Описание уязвимостей

  • CVE-2025-21587

    Уязвимость Oracle Java SE, Oracle GraalVM для JDK, продукта Oracle GraalVM Enterprise Edition для Oracle Java SE (компонент: JSSE). Эксплуатация уязвимости может позволить неаутентифицированному нарушителю, действующему удалённо, получить несанкционированный доступ к критически важным данным, их изменению или удалению, включая полный доступ ко всем данным в затронутых системах. Уязвимость может быть использована через API компонента JSSE, в том числе при выполнении недоверенного кода в Java Web Start или апплетах, полагающихся на песочницу Java.

  • CVE-2025-30691

    Уязвимость компонента Compiler продуктов Oracle Java SE и Oracle GraalVM для JDK. Эксплуатация уязвимости может позволить неаутентифицированному нарушителю выполнить несанкционированное обновление, вставку или удаление части данных, доступных в Oracle Java SE, а также к несанкционированному чтению определённого набора этих данных. Уязвимость может быть использована через API, предоставленные компонентом Compiler, например, при взаимодействии с веб-сервисом, передающим данные в указанные API. Уязвимость также актуальна для Java-развёртываний, в частности на клиентских устройствах, запускающих изолированные Java Web Start-приложения или апплеты, исполняющие недоверенный код (например, загружаемый из Интернета) и полагающиеся на механизм песочницы Java для обеспечения безопасности.

  • CVE-2025-30698

    Уязвимость компонента 2D продуктов Oracle Java SE, Oracle GraalVM для JDK и Oracle GraalVM Enterprise Edition. Эксплуатация уязвимости может позволить неаутентифицированному нарушителю выполнить несанкционированное обновление, вставку или удаление части данных, доступных в указанных продуктах, а также несанкционированное чтение части этих данных и возможность вызвать частичный отказ в обслуживании. Уязвимость применима к Java-развёртываниям, как правило, на клиентских системах, исполняющих изолированные Java Web Start-приложения или апплеты, загружающие и выполняющие недоверенный код (например, полученный из интернета), полагаясь при этом на механизм песочницы Java для обеспечения безопасности. Эта уязвимость не распространяется на серверные Java-развёртывания, которые загружают и выполняют только доверенный код (например, установленный администратором).

Уровень опасности

CVE Оценка CVSS 2.0 Оценка CVSS 3.x Оценка CVSS 4.0
нет информации 7.4 нет информации
нет информации 4.8 нет информации
нет информации 5.6 нет информации
Критичный, высокий, средний, низкий

Обновлённые пакеты