BDU:2023-02504

Опубликовано: 18 апр. 2023

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость компонента JSSE программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Novell Inc.

Сообщество свободного программного обеспечения

Canonical Ltd.

ООО «Ред Софт»

АО «ИВК»

АО «НТЦ ИТ РОСА»

Oracle Corp.

АО "НППКТ"

Axiom JDK

Azul Systems, Inc.

Наименование ПО

Suse Linux Enterprise Desktop

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

Debian GNU/Linux

SUSE Linux Enterprise High Performance Computing

Ubuntu

РЕД ОС

SUSE Enterprise Storage

Альт 8 СП

SUSE Linux Enterprise Module for Realtime packages

SUSE Linux Enterprise Module for Basesystem

SUSE Linux Enterprise Module for Legacy Software

РОСА Кобальт

SUSE Linux Enterprise Module for Package Hub

Java SE

GraalVM Enterprise Edition

OpenJDK

АЛЬТ СП 10

ОСОН ОСнова Оnyx

Axiom AxiomJDK

Zulu OpenJDK

Версия ПО

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

10 (Debian GNU/Linux)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP2 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise High Performance Computing)

15-LTSS (Suse Linux Enterprise Server)

12 SP1 (Suse Linux Enterprise Desktop)

12 SP1 (Suse Linux Enterprise Server)

20.04 LTS (Ubuntu)

12 SP4 LTSS (Suse Linux Enterprise Server)

12 SP4-ESPOS (Suse Linux Enterprise Server)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

16.04 ESM (Ubuntu)

15 SP1 (Suse Linux Enterprise Server)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

15 SP2 LTSS (Suse Linux Enterprise Server)

7.3 (РЕД ОС)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (Suse Linux Enterprise Desktop)

7 (SUSE Enterprise Storage)

15 SP2 (Suse Linux Enterprise Server)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Server)

15 SP2-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (SUSE Linux Enterprise Module for Realtime packages)

22.04 LTS (Ubuntu)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

15 SP1 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Desktop)

7.1 (SUSE Enterprise Storage)

15 SP4 (SUSE Linux Enterprise Module for Basesystem)

22.10 (Ubuntu)

15 SP4 (SUSE Linux Enterprise Module for Legacy Software)

15 SP3-LTSS (Suse Linux Enterprise Server)

7.9 (РОСА Кобальт)

15 SP3-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Module for Package Hub)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

8u361 (Java SE)

8u361-perf (Java SE)

11.0.18 (Java SE)

17.0.6 (Java SE)

20 (Java SE)

20.3.9 (GraalVM Enterprise Edition)

21.3.5 (GraalVM Enterprise Edition)

22.3.1 (GraalVM Enterprise Edition)

15 SP5 (SUSE Linux Enterprise Module for Legacy Software)

18.04 ESM (Ubuntu)

23.04 (Ubuntu)

11.0.18 (OpenJDK)

17.0.6 (OpenJDK)

20 (OpenJDK)

8u362 (OpenJDK)

- (АЛЬТ СП 10)

до 2.9 (ОСОН ОСнова Оnyx)

до 11.0.18 (Axiom AxiomJDK)

до 8u371 (Axiom AxiomJDK)

до 17.0.6.0.1 (Axiom AxiomJDK)

до 11.66.15-CA (Zulu OpenJDK)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS

Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS

Novell Inc. Suse Linux Enterprise Desktop 12 SP2

Novell Inc. Suse Linux Enterprise Server 12 SP2

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Novell Inc. Suse Linux Enterprise Desktop 12 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP1

Canonical Ltd. Ubuntu 20.04 LTS

Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS

Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Canonical Ltd. Ubuntu 16.04 ESM

Novell Inc. Suse Linux Enterprise Server 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP2

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. Suse Linux Enterprise Server 15

Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Canonical Ltd. Ubuntu 22.04 LTS

Novell Inc. Suse Linux Enterprise Desktop 15 SP1

Novell Inc. Suse Linux Enterprise Desktop 15

Canonical Ltd. Ubuntu 22.10

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9

Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL

Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Canonical Ltd. Ubuntu 18.04 ESM

Canonical Ltd. Ubuntu 23.04

АО «ИВК» АЛЬТ СП 10 -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Оracle Corp.:

https://www.oracle.com/security-alerts/cpuapr2023.html

https://openjdk.org/groups/vulnerability/advisories/2023-04-18

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-21967.html

Для Ubuntu:

https://ubuntu.com/security/notices/USN-6077-1

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-21967

Для РОСА «Кобальт»:

https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2213

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21

Для Axiom AxiomJDK:

https://axiomjdk.ru/blog/

Для Zulu OpenJDK:

https://cdn.azul.com/zulu/bin/zulu11.66.15-ca-jdk11.0.20-linux.x86_64.rpm

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-21967
CVE

EPSS

Процентиль: 24%

0.00076

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ROS-20240521-11

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-21-openjdk

ROS-20240521-10

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-17-openjdk

ROS-20240521-09

CVSS3: 9.1

redos

около 1 года назад

Множественные уязвимости java-11-openjdk

CVE-2023-21967

CVSS3: 5.9

ubuntu

около 2 лет назад

Vulnerability in the Oracle Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: JSSE). Supported versions that are affected are Oracle Java SE: 8u361, 8u361-perf, 11.0.18, 17.0.6, 20; Oracle GraalVM Enterprise Edition: 20.3.9, 21.3.5 and 22.3.1. Difficult to exploit vulnerability allows unauthenticated attacker with network access via HTTPS to compromise Oracle Java SE, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of Oracle Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability can also be exploited by using APIs in the specified Component, e.g., through a web...

CVE-2023-21967

CVSS3: 5.9

redhat

около 2 лет назад

EPSS

Процентиль: 24%

0.00076

Низкий

7.5 High

CVSS3

7.8 High

CVSS2