BDU:2023-02179

Опубликовано: 18 апр. 2023

Источник: fstec

CVSS3: 9.1

CVSS2: 9.4

EPSS Низкий

Описание

Уязвимость компонента JSSE программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition связана с отсутствием проверки целостности сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или создать, удалить или изменить доступ к данным

Вендор

Red Hat Inc.

Novell Inc.

Сообщество свободного программного обеспечения

Canonical Ltd.

ООО «Ред Софт»

АО «ИВК»

АО «НТЦ ИТ РОСА»

Oracle Corp.

АО "НППКТ"

Axiom JDK

Azul Systems, Inc.

Наименование ПО

Red Hat Enterprise Linux

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Server

Debian GNU/Linux

Ubuntu

РЕД ОС

Альт 8 СП

Red Hat build of OpenJDK

РОСА Кобальт

Java SE

GraalVM Enterprise Edition

OpenJDK

АЛЬТ СП 10

ОСОН ОСнова Оnyx

Axiom AxiomJDK

Zulu OpenJDK

Версия ПО

7 (Red Hat Enterprise Linux)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

8 (Red Hat Enterprise Linux)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

10 (Debian GNU/Linux)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP2 (Suse Linux Enterprise Server)

15-LTSS (Suse Linux Enterprise Server)

12 SP1 (Suse Linux Enterprise Desktop)

12 SP1 (Suse Linux Enterprise Server)

20.04 LTS (Ubuntu)

12 SP4-ESPOS (Suse Linux Enterprise Server)

12 SP4-LTSS (Suse Linux Enterprise Server)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

16.04 ESM (Ubuntu)

15 SP1 (Suse Linux Enterprise Server)

11 (Debian GNU/Linux)

8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.4 Extended Update Support (Red Hat Enterprise Linux)

7.3 (РЕД ОС)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (Suse Linux Enterprise Server)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

11 (Red Hat build of OpenJDK)

17 (Red Hat build of OpenJDK)

1.8 (Red Hat build of OpenJDK)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Server)

15 SP2-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

15 SP2-LTSS (Suse Linux Enterprise Server)

15 SP1 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Desktop)

8.2 Telecommunications Update Service (Red Hat Enterprise Linux)

8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Extended Update Support (Red Hat Enterprise Linux)

9.0 Extended Update Support (Red Hat Enterprise Linux)

8.2 Advanced Update Support (Red Hat Enterprise Linux)

15 SP3-LTSS (Suse Linux Enterprise Server)

7.9 (РОСА Кобальт)

15 SP3-BCL (Suse Linux Enterprise Server)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

8u361 (Java SE)

8u361-perf (Java SE)

11.0.18 (Java SE)

17.0.6 (Java SE)

20 (Java SE)

20.3.9 (GraalVM Enterprise Edition)

21.3.5 (GraalVM Enterprise Edition)

22.3.1 (GraalVM Enterprise Edition)

18.04 ESM (Ubuntu)

23.04 (Ubuntu)

11.0.18 (OpenJDK)

17.0.6 (OpenJDK)

20 (OpenJDK)

1.8.0 update361 (OpenJDK)

- (АЛЬТ СП 10)

до 2.9 (ОСОН ОСнова Оnyx)

до 11.0.18 (Axiom AxiomJDK)

до 17.0.6 (Axiom AxiomJDK)

до 8u371 (Axiom AxiomJDK)

до 11.66.15-CA (Zulu OpenJDK)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS

Novell Inc. Suse Linux Enterprise Desktop 12 SP2

Novell Inc. Suse Linux Enterprise Server 12 SP2

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Novell Inc. Suse Linux Enterprise Desktop 12 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP1

Canonical Ltd. Ubuntu 20.04 LTS

Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS

Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Canonical Ltd. Ubuntu 16.04 ESM

Novell Inc. Suse Linux Enterprise Server 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP2

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. Suse Linux Enterprise Server 15

Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP1

Novell Inc. Suse Linux Enterprise Desktop 15

Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9

Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Canonical Ltd. Ubuntu 18.04 ESM

Canonical Ltd. Ubuntu 23.04

АО «ИВК» АЛЬТ СП 10 -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpuapr2023.html

https://openjdk.org/groups/vulnerability/advisories/2023-04-18

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2023-21930

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-21930.html

Для Ubuntu:

https://ubuntu.com/security/notices/USN-6077-1

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-21930

Для РОСА «Кобальт»:

https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2213

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21

Для Axiom AxiomJDK:

https://axiomjdk.ru/blog/

Для Zulu OpenJDK:

https://cdn.azul.com/zulu/bin/zulu11.66.15-ca-jdk11.0.20-linux.x86_64.rpm

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-21930
CVE

EPSS

Процентиль: 34%

0.00131

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ROS-20240521-11

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-21-openjdk

ROS-20240521-10

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-17-openjdk

ROS-20240521-09

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-11-openjdk

CVE-2023-21930

CVSS3: 7.4

ubuntu

около 2 лет назад

Vulnerability in the Oracle Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: JSSE). Supported versions that are affected are Oracle Java SE: 8u361, 8u361-perf, 11.0.18, 17.0.6, 20; Oracle GraalVM Enterprise Edition: 20.3.9, 21.3.5 and 22.3.1. Difficult to exploit vulnerability allows unauthenticated attacker with network access via TLS to compromise Oracle Java SE, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Java SE, Oracle GraalVM Enterprise Edition accessible data as well as unauthorized access to critical data or complete access to all Oracle Java SE, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet...

CVE-2023-21930

CVSS3: 7.4

redhat

около 2 лет назад

EPSS

Процентиль: 34%

0.00131

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2