Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02497

Опубликовано: 18 апр. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость компонента Swing программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, манипулировать данными

Вендор

Novell Inc.
ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
Oracle Corp.
АО "НППКТ"
Axiom JDK
Azul Systems, Inc.

Наименование ПО

Suse Linux Enterprise Desktop
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
SUSE Linux Enterprise High Performance Computing
РЕД ОС
SUSE Enterprise Storage
Альт 8 СП
SUSE Linux Enterprise Module for Realtime packages
SUSE Linux Enterprise Module for Basesystem
SUSE Linux Enterprise Module for Legacy Software
РОСА Кобальт
SUSE Linux Enterprise Module for Package Hub
Java SE
GraalVM Enterprise Edition
OpenJDK
АЛЬТ СП 10
ОСОН ОСнова Оnyx
Axiom AxiomJDK
Zulu OpenJDK

Версия ПО

12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
12 SP1-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
12 SP3-LTSS (Suse Linux Enterprise Server)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
12 SP3-ESPOS (Suse Linux Enterprise Server)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP2 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
15-LTSS (Suse Linux Enterprise Server)
12 SP1 (Suse Linux Enterprise Desktop)
12 SP1 (Suse Linux Enterprise Server)
12 SP4 LTSS (Suse Linux Enterprise Server)
12 SP4-ESPOS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15 SP1 (Suse Linux Enterprise Server)
15 SP2 LTSS (Suse Linux Enterprise Server)
7.3 (РЕД ОС)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (Suse Linux Enterprise Desktop)
7 (SUSE Enterprise Storage)
15 SP2 (Suse Linux Enterprise Server)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 (Suse Linux Enterprise Server)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (SUSE Linux Enterprise Module for Realtime packages)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
15 SP1 (Suse Linux Enterprise Desktop)
15 (Suse Linux Enterprise Desktop)
7.1 (SUSE Enterprise Storage)
15 SP4 (SUSE Linux Enterprise Module for Basesystem)
15 SP4 (SUSE Linux Enterprise Module for Legacy Software)
15 SP3-LTSS (Suse Linux Enterprise Server)
7.9 (РОСА Кобальт)
15 SP3-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Module for Package Hub)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Basesystem)
8u361 (Java SE)
8u361-perf (Java SE)
11.0.18 (Java SE)
17.0.6 (Java SE)
20 (Java SE)
20.3.9 (GraalVM Enterprise Edition)
21.3.5 (GraalVM Enterprise Edition)
22.3.1 (GraalVM Enterprise Edition)
15 SP5 (SUSE Linux Enterprise Module for Legacy Software)
11.0.18 (OpenJDK)
17.0.6 (OpenJDK)
20 (OpenJDK)
1.8.0 update361 (OpenJDK)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)
до 11.0.18 (Axiom AxiomJDK)
до 8u371 (Axiom AxiomJDK)
до 17.0.6.0.1 (Axiom AxiomJDK)
до 11.66.15-CA (Zulu OpenJDK)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
Novell Inc. Suse Linux Enterprise Desktop 12 SP2
Novell Inc. Suse Linux Enterprise Server 12 SP2
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. Suse Linux Enterprise Desktop 12 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1
Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. Suse Linux Enterprise Server 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. Suse Linux Enterprise Server 15
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP1
Novell Inc. Suse Linux Enterprise Desktop 15
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL
Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для программных продуктов Оracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2023.html
https://openjdk.org/groups/vulnerability/advisories/2023-04-18
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-21939.html
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2213
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21
Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/
Для Zulu OpenJDK:
https://cdn.azul.com/zulu/bin/zulu11.66.15-ca-jdk11.0.20-linux.x86_64.rpm
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.0149
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240521-11

CVSS3: 9.1
redos
около 1 года назад

Множественные уязвимости java-21-openjdk

redos логотип

ROS-20240521-10

CVSS3: 9.1
redos
около 1 года назад

Множественные уязвимости java-17-openjdk

redos логотип

ROS-20240521-09

CVSS3: 9.1
redos
около 1 года назад

Множественные уязвимости java-11-openjdk

ubuntu логотип

CVE-2023-21939

CVSS3: 5.3
ubuntu
около 2 лет назад

Vulnerability in the Oracle Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Swing). Supported versions that are affected are Oracle Java SE: 8u361, 8u361-perf, 11.0.18, 17.0.6, 20; Oracle GraalVM Enterprise Edition: 20.3.9, 21.3.5 and 22.3.1. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Java SE, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Java SE, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability can also be exploited by using APIs in the specified Component, e.g., through a web service which s...

redhat логотип

CVE-2023-21939

CVSS3: 5.3
redhat
около 2 лет назад

Vulnerability in the Oracle Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Swing). Supported versions that are affected are Oracle Java SE: 8u361, 8u361-perf, 11.0.18, 17.0.6, 20; Oracle GraalVM Enterprise Edition: 20.3.9, 21.3.5 and 22.3.1. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Java SE, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Java SE, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability can also be exploited by using APIs in the specified Component, e.g., through a web service whi...

EPSS

Процентиль: 80%
0.0149
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2