Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07355

Опубликовано: 04 окт. 2023
Источник: fstec
CVSS3: 7.4
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость сетевого программного средства Netty связана с ошибками при проверке сертификата TLS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить атаку типа "человек посередине"

Вендор

Red Hat Inc.
Apache Software Foundation

Наименование ПО

Data Grid
netty
hotrod-client

Версия ПО

8 (Data Grid)
от 4.1.0 до 5.0.0 (netty)
- (hotrod-client)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование средств межсетевого экранирования с целью ограничения доступа к устройству.
Использование рекомендаций:
Для Netty:
Обновление программного обеспечения до версии 5.0.0 и выше
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-4586

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.0013
Низкий

7.4 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-4586

CVSS3: 7.4
redhat
больше 2 лет назад

A vulnerability was found in the Hot Rod client. This security issue occurs as the Hot Rod client does not enable hostname validation when using TLS, possibly resulting in a man-in-the-middle (MITM) attack.

nvd логотип

CVE-2023-4586

CVSS3: 7.4
nvd
больше 2 лет назад

A vulnerability was found in the Hot Rod client. This security issue occurs as the Hot Rod client does not enable hostname validation when using TLS, possibly resulting in a man-in-the-middle (MITM) attack.

github логотип

GHSA-57m8-f3v5-hm5m

CVSS3: 5.3
github
больше 2 лет назад

Withdrawn Advisory: Netty-handler does not validate host names by default

EPSS

Процентиль: 33%
0.0013
Низкий

7.4 High

CVSS3

7.1 High

CVSS2