INFSA-2025:7508: Устранение уязвимостей java-21-openjdk
Информация о бюллетене
Идентификатор: INFSA-2025:7508
Тип: устранение уязвимостей
Дата публикации: 2025-07-17 21:41:18 UTC
Информация о пакете
Среда выполнения OpenJDK 21.
Описание уязвимостей
- CVE-2025-21587
Уязвимость Oracle Java SE, Oracle GraalVM для JDK, продукта Oracle GraalVM Enterprise Edition для Oracle Java SE (компонент: JSSE). Эксплуатация уязвимости может позволить неаутентифицированному нарушителю, действующему удалённо, получить несанкционированный доступ к критически важным данным, их изменению или удалению, включая полный доступ ко всем данным в затронутых системах. Уязвимость может быть использована через API компонента JSSE, в том числе при выполнении недоверенного кода в Java Web Start или апплетах, полагающихся на песочницу Java.
- CVE-2025-30691
Уязвимость компонента Compiler продуктов Oracle Java SE и Oracle GraalVM для JDK. Эксплуатация уязвимости может позволить неаутентифицированному нарушителю выполнить несанкционированное обновление, вставку или удаление части данных, доступных в Oracle Java SE, а также к несанкционированному чтению определённого набора этих данных. Уязвимость может быть использована через API, предоставленные компонентом Compiler, например, при взаимодействии с веб-сервисом, передающим данные в указанные API. Уязвимость также актуальна для Java-развёртываний, в частности на клиентских устройствах, запускающих изолированные Java Web Start-приложения или апплеты, исполняющие недоверенный код (например, загружаемый из Интернета) и полагающиеся на механизм песочницы Java для обеспечения безопасности.
- CVE-2025-30698
Уязвимость компонента 2D продуктов Oracle Java SE, Oracle GraalVM для JDK и Oracle GraalVM Enterprise Edition. Эксплуатация уязвимости может позволить неаутентифицированному нарушителю выполнить несанкционированное обновление, вставку или удаление части данных, доступных в указанных продуктах, а также несанкционированное чтение части этих данных и возможность вызвать частичный отказ в обслуживании. Уязвимость применима к Java-развёртываниям, как правило, на клиентских системах, исполняющих изолированные Java Web Start-приложения или апплеты, загружающие и выполняющие недоверенный код (например, полученный из интернета), полагаясь при этом на механизм песочницы Java для обеспечения безопасности. Эта уязвимость не распространяется на серверные Java-развёртывания, которые загружают и выполняют только доверенный код (например, установленный администратором).
Уровень опасности
CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
---|---|---|---|
NIST — CVE-2025-21587
|
нет информации | 7.4 | нет информации |
NIST — CVE-2025-30691
|
нет информации | 4.8 | нет информации |
NIST — CVE-2025-30698
|
нет информации | 5.6 | нет информации |
Обновлённые пакеты