Уязвимость отказа в обслуживании (DoS) в Oracle Java SE и OpenJDK из-за предсказуемых хэш-коллизий в реализации хэш-таблиц
Описание
Обнаружена уязвимость в Oracle Java SE до версии 7 Update 6, а также в OpenJDK 7 до версии 7u6 build 12 и OpenJDK 8 до версии build 39. Проблема заключается в том, что при вычислении хэш-значений не применяются ограничения на возможность предсказуемого вызова хэш-коллизий. Это позволяет злоумышленникам, зависящим от контекста (context-dependent), вызвать отказ в обслуживании (чрезмерное потребление ресурсов процессора) через специально созданный ввод данных в приложение, использующее хэш-таблицу.
Заявление
Данная проблема затрагивает различные версии Java, поставляемые с продуктами Red Hat. Патч доступен для Java 7 и Java 8, но не для предыдущих версий Java, поставляемых с продуктами Red Hat. Хотя патч для предыдущих версий Java недоступен, влияние данной проблемы было частично устранено в нескольких компонентах, которые используют Java HashMap таким образом, чтобы минимизировать риск отказа в обслуживании.
Затронутые версии ПО
- Oracle Java SE до версии 7 Update 6
- OpenJDK 7 до версии 7u6 build 12
- OpenJDK 8 до версии build 39
Тип уязвимости
- Чрезмерное потребление ресурсов процессора (CPU consumption)
- Отказ в обслуживании (DoS)
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 4 | java-1.5.0-ibm | Will not fix | ||
| Red Hat Enterprise Linux 4 | java-1.6.0-ibm | Will not fix | ||
| Red Hat Enterprise Linux 4 | java-1.6.0-sun | Will not fix | ||
| Red Hat Enterprise Linux 5 | java-1.5.0-ibm | Will not fix | ||
| Red Hat Enterprise Linux 5 | java-1.6.0-ibm | Will not fix | ||
| Red Hat Enterprise Linux 5 | java-1.6.0-openjdk | Will not fix | ||
| Red Hat Enterprise Linux 5 | java-1.6.0-sun | Will not fix | ||
| Red Hat Enterprise Linux 6 | java-1.5.0-ibm | Will not fix | ||
| Red Hat Enterprise Linux 6 | java-1.6.0-ibm | Will not fix | ||
| Red Hat Enterprise Linux 6 | java-1.6.0-openjdk | Will not fix |
Показывать по
Дополнительная информация
Статус:
EPSS
5 Medium
CVSS2
Связанные уязвимости
Oracle Java SE before 7 Update 6, and OpenJDK 7 before 7u6 build 12 and 8 before build 39, computes hash values without restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table.
Oracle Java SE before 7 Update 6, and OpenJDK 7 before 7u6 build 12 and 8 before build 39, computes hash values without restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table.
Oracle Java SE before 7 Update 6, and OpenJDK 7 before 7u6 build 12 an ...
Oracle Java SE before 7 Update 6, and OpenJDK 7 before 7u6 build 12 and 8 before build 39, computes hash values without restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table.
EPSS
5 Medium
CVSS2