資安通報: CVE-2022-34169 存在於所有Java環境,請立即安排更新
知名的Open Source供應商Apache的 Xalan 專案,於7/19被發佈"CVE-2022-34169"風險,原為CVSS 7.5分高風險,不久後便更新成嚴重度高達9.8分的嚴重漏洞,但又於8/30下修回7.5分,如此搖擺不定,表示該風險正在被社群、駭客及弱點組織評估討論中。
由於許多處理文檔的開源元件,與此Xalan 專案元件往往都有相依性關係。
「同時2022年7月之前釋出的所有Java供應商提供所有版本 JRE/JDK 釋出也都包含此元件的部分程式碼。」
此外, Apache Xalan 已經是EOS,停止維護的版本,所以請客戶依據您使用的情境儘速處理:
1. JRE/JDK 版本更新
至2022年七月以後的版本,各版本的update號碼如下:
18.0.2 , 17.0.4 , 11.0.16 , 8u345
2. Apache Xalan 元件替換
選擇其他相似功能元件,CVE-2022-34169 在7/20 已經更新至 Mend 資料庫,現有客戶都可以透過叡揚資訊 資安產品客戶專屬E-mail Alert或是到平台裡面搜尋此弱點了解影響範圍。或者您對Java, OpenJDK 有需要更多的協助,也可向我們的Azul團隊洽詢
相關資訊分享:
Azul,2002年成立於美國加州,是目前Java供應商中唯一100%專注於Java的公司。Azul的商業授權訂閱確保使用者一定能如期取得經過 JCK 測試的季修補,同時也是唯一提供無授權汙染保證的公司,確保您的智慧財產權不受病毒是授權的汙染。全世界已有數以百萬計的 Java 開發人員、數以億計的設備和世界上最受推崇的企業信任 Azul, 將以卓越的功能、性能、安全性、最經濟實惠的價格和最高等級的支援服務,支持著您的Java應用程式的運行。