BDU:2023-00510

Опубликовано: 17 янв. 2023

Источник: fstec

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость компонента JSSE программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

Oracle Corp.

АО «НТЦ ИТ РОСА»

АО "НППКТ"

Axiom JDK

Azul Systems, Inc.

Наименование ПО

Suse Linux Enterprise Server

Red Hat Enterprise Linux

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

Debian GNU/Linux

РЕД ОС

Red Hat build of OpenJDK

Java SE

GraalVM Enterprise Edition

РОСА Кобальт

ОСОН ОСнова Оnyx

Axiom AxiomJDK

Zulu OpenJDK

Версия ПО

12 (Suse Linux Enterprise Server)

7 (Red Hat Enterprise Linux)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

8 (Red Hat Enterprise Linux)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

12-LTSS (Suse Linux Enterprise Server)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

10 (Debian GNU/Linux)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP2 (Suse Linux Enterprise Server)

15-LTSS (Suse Linux Enterprise Server)

12 SP1 (Suse Linux Enterprise Desktop)

12 SP1 (Suse Linux Enterprise Server)

12 SP4-ESPOS (Suse Linux Enterprise Server)

12 SP4-LTSS (Suse Linux Enterprise Server)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

15 SP1 (Suse Linux Enterprise Server)

11 (Debian GNU/Linux)

8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.4 Extended Update Support (Red Hat Enterprise Linux)

7.3 (РЕД ОС)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (Suse Linux Enterprise Server)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

15 SP4 (Suse Linux Enterprise Server)

11 (Red Hat build of OpenJDK)

17 (Red Hat build of OpenJDK)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

9 (Red Hat Enterprise Linux)

15 SP2-LTSS (Suse Linux Enterprise Server)

15 SP1 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Desktop)

8.2 Telecommunications Update Service (Red Hat Enterprise Linux)

8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Extended Update Support (Red Hat Enterprise Linux)

9.0 Extended Update Support (Red Hat Enterprise Linux)

8.2 Advanced Update Support (Red Hat Enterprise Linux)

15 SP3-LTSS (Suse Linux Enterprise Server)

11.0.17 (Java SE)

17.0.5 (Java SE)

19.0.1 (Java SE)

20.3.8 (GraalVM Enterprise Edition)

21.3.4 (GraalVM Enterprise Edition)

22.3.0 (GraalVM Enterprise Edition)

7.9 (РОСА Кобальт)

до 2.9 (ОСОН ОСнова Оnyx)

до 11.0.16.1 (Axiom AxiomJDK)

до 11.0.18 (Axiom AxiomJDK)

до 17.0.5.0.1 (Axiom AxiomJDK)

до 11.66.15-CA (Zulu OpenJDK)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Server 12

Red Hat Inc. Red Hat Enterprise Linux 7

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS

Novell Inc. Suse Linux Enterprise Server 12-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS

Novell Inc. Suse Linux Enterprise Desktop 12 SP2

Novell Inc. Suse Linux Enterprise Server 12 SP2

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Novell Inc. Suse Linux Enterprise Desktop 12 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS

Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP2

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. Suse Linux Enterprise Server 15

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP1

Novell Inc. Suse Linux Enterprise Desktop 15

Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpujan2023.html

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-21835.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2023-21835

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-21835

Для ОС РОСА "КОБАЛЬТ":

https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2138

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21

Для Axiom AxiomJDK:

https://axiomjdk.ru/blog/

Для Zulu OpenJDK:

https://cdn.azul.com/zulu/bin/zulu11.66.15-ca-jdk11.0.20-linux.x86_64.rpm

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-21835
CVE

EPSS

Процентиль: 12%

0.00041

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ROS-20240521-11

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-21-openjdk

ROS-20240521-10

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-17-openjdk

ROS-20240521-09

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-11-openjdk

CVE-2023-21835

CVSS3: 5.3

ubuntu

больше 2 лет назад

Vulnerability in the Oracle Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: JSSE). Supported versions that are affected are Oracle Java SE: 11.0.17, 17.0.5, 19.0.1; Oracle GraalVM Enterprise Edition: 20.3.8, 21.3.4 and 22.3.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via DTLS to compromise Oracle Java SE, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized ability to cause a partial denial of service (partial DOS) of Oracle Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code instal...

CVE-2023-21835

CVSS3: 5.3

redhat

больше 2 лет назад

EPSS

Процентиль: 12%

0.00041

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2