CVE-2024-21144

Oracle Java SE versões 8u411, 8u411-perf, 11.0.23

Oracle GraalVM Enterprise Edition versões 20.3.14, 21.3.10

IBM SDK, Java Technology Edition versões 7.1.0.0 a 7.1.5.18

IBM SDK, Java Technology Edition versões 8.0.0.0 a 8.0.8.26

O problema está relacionado à validação insuficiente de entradas no componente Concurrency, permitindo que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o sistema. Ataques bem-sucedidos podem resultar em uma negação parcial de serviço. Este problema se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox Java para segurança, normalmente em clientes que executam aplicativos Java Web Start em sandbox ou miniaplicativos Java em sandbox. A vulnerabilidade não se aplica a implantações Java que carregam e executam apenas código confiável, normalmente em servidores.

Para as versões 8u411, 8u411-perf e 11.0.23 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema.

Para as versões 20.3.14 e 21.3.10 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema.

Para as versões 7.1.0.0 a 7.1.5.18 do IBM SDK, Java Technology Edition, atualize para uma versão fora desse intervalo.

Para as versões 8.0.0.0 a 8.0.8.26 do IBM SDK, Java Technology Edition, atualize para uma versão fora desse intervalo.

Como solução alternativa temporária, considere restringir o acesso ao componente Concurrency até que um patch esteja disponível.