Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05507

Опубликовано: 01 апр. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость контейнера сервлетов Eclipse Jetty связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Oracle Corp.
Eclipse Foundation
CD Foundation
IBM Corp.
АО "НППКТ"

Наименование ПО

Oracle Communications Services Gatekeeper
Oracle Communications Element Manager
Autovue for Agile Product Lifecycle Management
Communications Cloud Native Core Policy
Jetty
Jenkins
REST Data Services
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
Siebel CRM
IBM QRadar SIEM
ОСОН ОСнова Оnyx

Версия ПО

7.0 (Oracle Communications Services Gatekeeper)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
21.0.2 (Autovue for Agile Product Lifecycle Management)
1.14.0 (Communications Cloud Native Core Policy)
от 7.2.2 до 9.4.39 (Jetty)
от 10.0.0 до 10.0.2 (Jetty)
от 11.0.0 до 11.0.2 (Jetty)
до 2.277.3 (Jenkins)
до 2.286 (Jenkins)
до 21.2.0 включительно (REST Data Services)
до 21.3 (REST Data Services)
от 8.0.0.0 до 8.2.4.0 включительно (Oracle Communications Session Report Manager)
от 8.0.0.0 до 8.2.4.0 включительно (Oracle Communications Session Route Manager)
до 21.9 включительно (Siebel CRM)
от 7.3 до 7.3.3 Fix Pack 12 (IBM QRadar SIEM)
от 7.4 до 7.4.3 Fix Pack 6 (IBM QRadar SIEM)
от 7.5 до 7.5.0 Update Pack 2 (IBM QRadar SIEM)
до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем
Сетевое средство
Программное средство защиты
Операционная система

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/eclipse/jetty.project/security/advisories/GHSA-26vr-8j45-3r4w
Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6614725
Для ОСОН Основа:
Обновление программного обеспечения jetty9 до версии 9.4.39+repack-3osnova1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.10511
Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-28165

CVSS3: 7.5
ubuntu
почти 5 лет назад

In Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0.alpha0 to 11.0.1, CPU usage can reach 100% upon receiving a large invalid TLS frame.

redhat логотип

CVE-2021-28165

CVSS3: 7.5
redhat
почти 5 лет назад

In Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0.alpha0 to 11.0.1, CPU usage can reach 100% upon receiving a large invalid TLS frame.

nvd логотип

CVE-2021-28165

CVSS3: 7.5
nvd
почти 5 лет назад

In Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0.alpha0 to 11.0.1, CPU usage can reach 100% upon receiving a large invalid TLS frame.

debian логотип

CVE-2021-28165

CVSS3: 7.5
debian
почти 5 лет назад

In Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0. ...

github логотип

GHSA-26vr-8j45-3r4w

CVSS3: 7.5
github
почти 5 лет назад

Jetty vulnerable to incorrect handling of invalid large TLS frame, exhausting CPU resources

EPSS

Процентиль: 93%
0.10511
Средний

7.5 High

CVSS3

7.8 High

CVSS2