BDU:2024-04081

Опубликовано: 16 апр. 2024

Источник: fstec

CVSS3: 3.1

CVSS2: 2.6

EPSS Низкий

Описание

Уязвимость компонента Networking виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной платформы Oracle Java SE связана с неправильной авторизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Вендор

ООО «Ред Софт»

АО «НТЦ ИТ РОСА»

Oracle Corp.

АО "НППКТ"

Axiom JDK

Наименование ПО

РЕД ОС

РОСА Кобальт

Java SE

Oracle GraalVM for JDK

GraalVM Enterprise Edition

ОСОН ОСнова Оnyx

Axiom AxiomJDK

Версия ПО

7.3 (РЕД ОС)

7.9 (РОСА Кобальт)

11.0.22 (Java SE)

17.0.10 (Java SE)

21.0.2 (Java SE)

22 (Java SE)

17.0.10 (Oracle GraalVM for JDK)

21.0.2 (Oracle GraalVM for JDK)

22 (Oracle GraalVM for JDK)

20.3.13 (GraalVM Enterprise Edition)

21.3.9 (GraalVM Enterprise Edition)

до 2.11 (ОСОН ОСнова Оnyx)

до 11.0.23 (Axiom AxiomJDK)

до 17.0.11 (Axiom AxiomJDK)

до 21.0.3 (Axiom AxiomJDK)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9

АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.oracle.com/security-alerts/cpujan2024.html

Для ОСОН ОСнова Оnyx (2.11):

Обновление программного обеспечения openjdk-11 до версии 11.0.23+9.repack-1~deb10u1.osnova23

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для AxiomJDK:

https://axiomjdk.ru/pages/downloads/

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2481

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-21012
CVE

EPSS

Процентиль: 30%

0.00107

Низкий

3.1 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

ROS-20241015-17

CVSS3: 3.7

redos

8 месяцев назад

Множественные уязвимости java-17-openjdk

ROS-20241015-16

CVSS3: 3.7

redos

8 месяцев назад

Множественные уязвимости java-21-openjdk

ROS-20241015-04

CVSS3: 3.7

redos

8 месяцев назад

Множественные уязвимости java-11-openjdk

CVE-2024-21012

CVSS3: 3.7

ubuntu

около 1 года назад

Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Networking). Supported versions that are affected are Oracle Java SE: 11.0.22, 17.0.10, 21.0.2, 22; Oracle GraalVM for JDK: 17.0.10, 21.0.2, 22; Oracle GraalVM Enterprise Edition: 20.3.13 and 21.3.9. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for securit...

CVE-2024-21012

CVSS3: 3.7

redhat

около 1 года назад

EPSS

Процентиль: 30%

0.00107

Низкий

3.1 Low

CVSS3

2.6 Low

CVSS2