Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-03317

Опубликовано: 26 апр. 2018
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость набора Java-библиотек Google Guava связана с неограниченным выделением памяти в классах AtomicDoubleArray и CompoundOrdering. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Oracle Corp.
Google Inc
Elastic NV

Наименование ПО

Red Hat Virtualization
WebLogic Server
OpenShift Container Platform
JBoss Enterprise Application Platform
JBoss EAP
Retail Xstore Point of Service
Red Hat Software Collections
Red Hat Single Sign-On
Red Hat OpenStack Platform
Guava
Red Hat JBoss Fuse Integration Service
JBoss Enterprise Application Platform Continuous Delivery
Red Hat Satellite
Elasticsearch
Logstash

Версия ПО

4 (Red Hat Virtualization)
12.2.1.3.0 (WebLogic Server)
4.1 (OpenShift Container Platform)
3.11 (OpenShift Container Platform)
6.4 (JBoss Enterprise Application Platform)
7.1 (JBoss EAP)
7.1 (Retail Xstore Point of Service)
15.0 (Retail Xstore Point of Service)
16.0 (Retail Xstore Point of Service)
17.0 (Retail Xstore Point of Service)
- (Red Hat Software Collections)
7.2 (Red Hat Single Sign-On)
13.0 (Queens) (Red Hat OpenStack Platform)
7.1 for RHEL 6 (JBoss Enterprise Application Platform)
7.1 for RHEL 7 (JBoss Enterprise Application Platform)
от 11.0 до 24.1.1 (Guava)
2 (Red Hat JBoss Fuse Integration Service)
6.4 for RHEL 5 (JBoss Enterprise Application Platform)
6.4 for RHEL 6 (JBoss Enterprise Application Platform)
6.4 for RHEL 7 (JBoss Enterprise Application Platform)
13 (JBoss Enterprise Application Platform Continuous Delivery)
6.4 for RHEL 7 (Red Hat Satellite)
7.17.14 (Elasticsearch)
8.12.1 (Logstash)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое программное средство
Прикладное ПО информационных систем
ПО программно-аппаратного средства
СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.
Использование рекомендаций:
Для Guava:
https://groups.google.com/d/topic/guava-announce/xqWALw4W1vs/discussion
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-10237
Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03259
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-10237

CVSS3: 5.9
ubuntu
почти 8 лет назад

Unbounded memory allocation in Google Guava 11.0 through 24.x before 24.1.1 allows remote attackers to conduct denial of service attacks against servers that depend on this library and deserialize attacker-provided data, because the AtomicDoubleArray class (when serialized with Java serialization) and the CompoundOrdering class (when serialized with GWT serialization) perform eager allocation without appropriate checks on what a client has sent and whether the data size is reasonable.

redhat логотип

CVE-2018-10237

CVSS3: 5.9
redhat
почти 8 лет назад

Unbounded memory allocation in Google Guava 11.0 through 24.x before 24.1.1 allows remote attackers to conduct denial of service attacks against servers that depend on this library and deserialize attacker-provided data, because the AtomicDoubleArray class (when serialized with Java serialization) and the CompoundOrdering class (when serialized with GWT serialization) perform eager allocation without appropriate checks on what a client has sent and whether the data size is reasonable.

nvd логотип

CVE-2018-10237

CVSS3: 5.9
nvd
почти 8 лет назад

Unbounded memory allocation in Google Guava 11.0 through 24.x before 24.1.1 allows remote attackers to conduct denial of service attacks against servers that depend on this library and deserialize attacker-provided data, because the AtomicDoubleArray class (when serialized with Java serialization) and the CompoundOrdering class (when serialized with GWT serialization) perform eager allocation without appropriate checks on what a client has sent and whether the data size is reasonable.

debian логотип

CVE-2018-10237

CVSS3: 5.9
debian
почти 8 лет назад

Unbounded memory allocation in Google Guava 11.0 through 24.x before 2 ...

github логотип

GHSA-mvr2-9pj6-7w5j

CVSS3: 5.9
github
больше 5 лет назад

Denial of Service in Google Guava

EPSS

Процентиль: 87%
0.03259
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2