Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05622

Опубликовано: 22 окт. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость декодера Bzip2Decoder сетевого программного средства Netty связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Oracle Corp.
Сообщество свободного программного обеспечения
NetApp Inc.
АО "НППКТ"
Apache Software Foundation

Наименование ПО

PeopleSoft Enterprise PeopleTools
Oracle Communications Messaging Server
Debian GNU/Linux
SnapCenter
Oncommand Insight
Oracle Coherence
Oracle Banking Digital Experience
Oracle WebCenter Portal
Active IQ Unified Manager for Microsoft Windows
Oracle Banking APIs
Helidon
Oracle Communications Cloud Native Core Policy
Commerce Guided Search
Communications Cloud Native Core Binding Support Function
Communications Diameter Signaling Router
ОСОН ОСнова Оnyx
Oracle Communications Cloud Native Core Unified Data Repository
Cassandra
netty
Active IQ Unified Manager for Linux
Cloud Insights Storage Workload Security Agent
Communications BRM - Elastic Charging Engine
Oracle Communications Cloud Native Core Network Slice Selection Function
Oracle Communications Cloud Native Core Security Edge Protection Proxy
quarkus

Версия ПО

8.57 (PeopleSoft Enterprise PeopleTools)
8.1 (Oracle Communications Messaging Server)
10 (Debian GNU/Linux)
- (SnapCenter)
- (Oncommand Insight)
12.2.1.4.0 (Oracle Coherence)
8.58 (PeopleSoft Enterprise PeopleTools)
14.1.1.0.0 (Oracle Coherence)
19.1 (Oracle Banking Digital Experience)
19.2 (Oracle Banking Digital Experience)
20.1 (Oracle Banking Digital Experience)
11 (Debian GNU/Linux)
12.2.1.3.0 (Oracle WebCenter Portal)
12.2.1.4.0 (Oracle WebCenter Portal)
8.59 (PeopleSoft Enterprise PeopleTools)
- (Active IQ Unified Manager for Microsoft Windows)
21.1 (Oracle Banking Digital Experience)
от 18.1 до 18.3 включительно (Oracle Banking APIs)
19.1 (Oracle Banking APIs)
19.2 (Oracle Banking APIs)
20.1 (Oracle Banking APIs)
21.1 (Oracle Banking APIs)
1.4.10 (Helidon)
1.15.0 (Oracle Communications Cloud Native Core Policy)
11.3.2 (Commerce Guided Search)
1.10.0 (Communications Cloud Native Core Binding Support Function)
от 8.0.0.0 до 8.5.0.2 включительно (Communications Diameter Signaling Router)
до 2.7 (ОСОН ОСнова Оnyx)
1.15.0 (Oracle Communications Cloud Native Core Unified Data Repository)
4.1.3 (Cassandra)
до 4.1.68 (netty)
- (Active IQ Unified Manager for Linux)
- (Cloud Insights Storage Workload Security Agent)
до 12.0.0.4.6 (Communications BRM - Elastic Charging Engine)
до 12.0.0.5.1 (Communications BRM - Elastic Charging Engine)
от 18.1 до 18.3 включительно (Oracle Banking Digital Experience)
1.11.0 (Communications Cloud Native Core Binding Support Function)
1.8.0 (Oracle Communications Cloud Native Core Network Slice Selection Function)
1.7.0 (Oracle Communications Cloud Native Core Security Edge Protection Proxy)
2.4.0 (Helidon)
до 2.2.4 (quarkus)

Тип ПО

Прикладное ПО информационных систем
Операционная система
ПО сетевого программно-аппаратного средства
СУБД
Сетевое программное средство
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для Netty:
https://github.com/netty/netty/security/advisories/GHSA-grg4-wf29-r9vv
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/01/msg00008.html
https://www.debian.org/security/2023/dsa-5316
Для программных продуктов Netapp:
https://security.netapp.com/advisory/ntap-20220210-0012/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 78%
0.01187
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-37136

CVSS3: 7.5
ubuntu
больше 4 лет назад

The Bzip2 decompression decoder function doesn't allow setting size restrictions on the decompressed output data (which affects the allocation size used during decompression). All users of Bzip2Decoder are affected. The malicious input can trigger an OOME and so a DoS attack

redhat логотип

CVE-2021-37136

CVSS3: 7.5
redhat
больше 4 лет назад

The Bzip2 decompression decoder function doesn't allow setting size restrictions on the decompressed output data (which affects the allocation size used during decompression). All users of Bzip2Decoder are affected. The malicious input can trigger an OOME and so a DoS attack

nvd логотип

CVE-2021-37136

CVSS3: 7.5
nvd
больше 4 лет назад

The Bzip2 decompression decoder function doesn't allow setting size restrictions on the decompressed output data (which affects the allocation size used during decompression). All users of Bzip2Decoder are affected. The malicious input can trigger an OOME and so a DoS attack

debian логотип

CVE-2021-37136

CVSS3: 7.5
debian
больше 4 лет назад

The Bzip2 decompression decoder function doesn't allow setting size re ...

github логотип

GHSA-grg4-wf29-r9vv

CVSS3: 7.5
github
больше 4 лет назад

Bzip2Decoder doesn't allow setting size restrictions for decompressed data

EPSS

Процентиль: 78%
0.01187
Низкий

7.5 High

CVSS3

7.8 High

CVSS2