Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04023

Опубликовано: 21 июл. 2021
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость компонента Hotspot виртуальной машины Oracle GraalVM Enterprise Edition, программной платформы Java SE связана с возможностью внедрения ненадежного кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный Java-код

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Oracle Corp.
АО «Концерн ВНИИНС»
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО "НППКТ"
АО «НТЦ ИТ РОСА»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
GraalVM Enterprise Edition
OpenJDK
ОС ОН «Стрелец»
РЕД ОС
Astra Linux Special Edition
ОСОН ОСнова Оnyx
РОСА Кобальт

Версия ПО

7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
21.1.0 (GraalVM Enterprise Edition)
20.3.2 (GraalVM Enterprise Edition)
1.8.0-update291 (OpenJDK)
11.0.11 (OpenJDK)
16.0.1 (OpenJDK)
1.0 (ОС ОН «Стрелец»)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
7.9 (РОСА Кобальт)
до 20.10.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 20.10.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2021.html
Для Debian:
https://www.debian.org/security/2021/dsa-4946
Для Red Hat:
https://access.redhat.com/security/cve/cve-2021-2388
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#08122021
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2133
Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа:
Обновление программного обеспечения openjdk-11 до версии 11.0.15+10.repack-1~deb10u1.osnova18
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openjdk-8 до версии 8u332-ga-repack1+deb9u1.osnova12
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 73%
0.0082
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-2388

CVSS3: 7.5
ubuntu
почти 4 года назад

Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Hotspot). Supported versions that are affected are Java SE: 8u291, 11.0.11, 16.0.1; Oracle GraalVM Enterprise Edition: 20.3.2 and 21.1.0. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in takeover of Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code ins...

redhat логотип

CVE-2021-2388

CVSS3: 7.5
redhat
почти 4 года назад

Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Hotspot). Supported versions that are affected are Java SE: 8u291, 11.0.11, 16.0.1; Oracle GraalVM Enterprise Edition: 20.3.2 and 21.1.0. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in takeover of Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code ins...

nvd логотип

CVE-2021-2388

CVSS3: 7.5
nvd
почти 4 года назад

Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Hotspot). Supported versions that are affected are Java SE: 8u291, 11.0.11, 16.0.1; Oracle GraalVM Enterprise Edition: 20.3.2 and 21.1.0. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in takeover of Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code instal

debian логотип

CVE-2021-2388

CVSS3: 7.5
debian
почти 4 года назад

Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition produc ...

github логотип

GHSA-4h93-46mq-wpq9

CVSS3: 7.5
github
около 3 лет назад

Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Hotspot). Supported versions that are affected are Java SE: 8u291, 11.0.11, 16.0.1; Oracle GraalVM Enterprise Edition: 20.3.2 and 21.1.0. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in takeover of Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code ins...

EPSS

Процентиль: 73%
0.0082
Низкий

8.1 High

CVSS3

7.6 High

CVSS2