Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00773

Опубликовано: 04 июл. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость реализации класса ZlibDecoders сетевого программного средства Netty связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
Oracle Corp.
Fedora Project
Apache Software Foundation
ООО «РусБИТех-Астра»
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Ubuntu
WebCenter Portal
Oracle Communications Messaging Server
Fedora
Oracle Banking Corporate Lending
Oracle FLEXCUBE Universal Banking
Oracle Banking Liquidity Management
Oracle Banking Credit Facilities Process Management
Oracle Banking Payments
Oracle Banking Supply Chain Finance
Oracle Banking Trade Finance Process Management
Oracle Banking Virtual Account Management
netty
NoSQL Database
Oracle Communications Design Studio
Astra Linux Special Edition
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
12.2.1.3.0 (WebCenter Portal)
10 (Debian GNU/Linux)
12.2.1.4.0 (WebCenter Portal)
8.1.0 (Oracle Communications Messaging Server)
33 (Fedora)
от 14.0.0 до 14.4.0 включительно (Oracle Banking Corporate Lending)
от 14.0.0 до 14.4.0 включительно (Oracle FLEXCUBE Universal Banking)
от 14.0.0 до 14.4.0 включительно (Oracle Banking Liquidity Management)
14.1.0 (Oracle Banking Credit Facilities Process Management)
14.3.0 (Oracle Banking Credit Facilities Process Management)
14.4.0 (Oracle Banking Credit Facilities Process Management)
14.4.0 (Oracle Banking Payments)
от 14.2.0 до 14.4.0 включительно (Oracle Banking Supply Chain Finance)
14.1.0 (Oracle Banking Trade Finance Process Management)
14.3.0 (Oracle Banking Trade Finance Process Management)
14.4.0 (Oracle Banking Trade Finance Process Management)
14.1.0 (Oracle Banking Virtual Account Management)
14.3.0 (Oracle Banking Virtual Account Management)
14.4.0 (Oracle Banking Virtual Account Management)
от 4.1 до 4.1.46 (netty)
до 20.3 (NoSQL Database)
7.4.2 (Oracle Communications Design Studio)
1.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 33
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для netty:
https://github.com/netty/netty/issues/6168
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/09/msg00003.html
https://security-tracker.debian.org/tracker/CVE-2020-11612
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TS6VX7OMXPDJIU5LRGUAHRK6MENAVJ46/
Для Ubuntu:
https://usn.ubuntu.com/usn/usn-4600-2
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u2
Для ОС ОН «Стрелец»:
Обновление программного обеспечения netty до версии 1:4.1.7-2+deb9u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 89%
0.04327
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-11612

CVSS3: 7.5
ubuntu
почти 6 лет назад

The ZlibDecoders in Netty 4.1.x before 4.1.46 allow for unbounded memory allocation while decoding a ZlibEncoded byte stream. An attacker could send a large ZlibEncoded byte stream to the Netty server, forcing the server to allocate all of its free memory to a single decoder.

redhat логотип

CVE-2020-11612

CVSS3: 7.5
redhat
около 6 лет назад

The ZlibDecoders in Netty 4.1.x before 4.1.46 allow for unbounded memory allocation while decoding a ZlibEncoded byte stream. An attacker could send a large ZlibEncoded byte stream to the Netty server, forcing the server to allocate all of its free memory to a single decoder.

nvd логотип

CVE-2020-11612

CVSS3: 7.5
nvd
почти 6 лет назад

The ZlibDecoders in Netty 4.1.x before 4.1.46 allow for unbounded memory allocation while decoding a ZlibEncoded byte stream. An attacker could send a large ZlibEncoded byte stream to the Netty server, forcing the server to allocate all of its free memory to a single decoder.

debian логотип

CVE-2020-11612

CVSS3: 7.5
debian
почти 6 лет назад

The ZlibDecoders in Netty 4.1.x before 4.1.46 allow for unbounded memo ...

github логотип

GHSA-mm9x-g8pc-w292

CVSS3: 7.5
github
больше 5 лет назад

Denial of Service in Netty

EPSS

Процентиль: 89%
0.04327
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2