BDU:2026-00138

Опубликовано: 08 июл. 2024

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость веб-сервера Undertow связана с неконтролируемой рекурсией. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Наименование ПО

Red Hat JBoss Enterprise Application Platform

Red Hat build of Apache Camel for Spring Boot

undertow

Red Hat build of Apache Camel

Версия ПО

7 (Red Hat JBoss Enterprise Application Platform)

7.4 for RHEL 8 (Red Hat JBoss Enterprise Application Platform)

7.4 for RHEL 9 (Red Hat JBoss Enterprise Application Platform)

7.4 on RHEL 7 (Red Hat JBoss Enterprise Application Platform)

8 (Red Hat JBoss Enterprise Application Platform)

4.4.2 (Red Hat build of Apache Camel for Spring Boot)

4.4.1 (Red Hat build of Apache Camel for Spring Boot)

3 (Red Hat build of Apache Camel for Spring Boot)

1.3 (undertow)

3.20.7 (Red Hat build of Apache Camel for Spring Boot)

HawtIO 4 (Red Hat build of Apache Camel)

Тип ПО

Прикладное ПО информационных систем

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации;

- использование антивирусных средств защиты для отслеживания средств эксплуатации уязвимостей.

Использование рекомендаций:

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/errata/RHSA-2024:4392

https://access.redhat.com/errata/RHSA-2024:4884

https://access.redhat.com/errata/RHSA-2024:5143

https://access.redhat.com/errata/RHSA-2024:5144

https://access.redhat.com/errata/RHSA-2024:5145

https://access.redhat.com/errata/RHSA-2024:5147

https://access.redhat.com/errata/RHSA-2024:6508

https://access.redhat.com/errata/RHSA-2024:6883

https://access.redhat.com/security/cve/CVE-2024-5971

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-5971
CVE

EPSS

Процентиль: 88%

0.03699

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2024-5971

CVSS3: 7.5

ubuntu

больше 1 года назад

A vulnerability was found in Undertow, where the chunked response hangs after the body was flushed. The response headers and body were sent but the client would continue waiting as Undertow does not send the expected 0\r\n termination of the chunked response. This results in uncontrolled resource consumption, leaving the server side to a denial of service attack. This happens only with Java 17 TLSv1.3 scenarios.

CVE-2024-5971

CVSS3: 7.5

redhat

больше 1 года назад

CVE-2024-5971

CVSS3: 7.5

nvd

больше 1 года назад

CVE-2024-5971

CVSS3: 7.5

debian

больше 1 года назад

A vulnerability was found in Undertow, where the chunked response hang ...

GHSA-xpp6-8r3j-ww43

CVSS3: 7.5

github

больше 1 года назад

Undertow Denial of Service vulnerability

EPSS

Процентиль: 88%

0.03699

Низкий

7.5 High

CVSS3

7.8 High

CVSS2