Уязвимость отказа в обслуживании (DoS) в Oracle Java SE и OpenJDK, связанная с предсказуемым вызовом коллизий хэшей через специально созданный ввод
Описание
Обнаружена уязвимость в Oracle Java SE и OpenJDK. Проблема заключается в том, что при вычислении хэш-значений не применяются должные ограничения для предотвращения предсказуемых коллизий хэшей. Это позволяет злоумышленникам, зависящим от контекста (context-dependent), вызвать отказ в обслуживании (чрезмерное потребление ресурсов процессора) путём отправки специально созданного ввода в приложение, поддерживающее хэш-таблицу. Проблема была продемонстрирована через универсальную мультиколлизионную атаку на алгоритм MurmurHash3. Данная уязвимость отличается от CVE-2012-2739.
Затронутые версии ПО
- Oracle Java SE 7 и более ранние версии
- OpenJDK 7 и более ранние версии
Тип уязвимости
- Чрезмерное потребление ресурсов процессора (CPU consumption)
- Отказ в обслуживании (DoS)
Идентификаторы
- Связанная проблема: CVE-2012-2739 (отличная уязвимость)
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | java-1.4.2-ibm | Under investigation | ||
| Red Hat Enterprise Linux 5 | java-1.4.2-ibm-sap | Under investigation | ||
| Red Hat Enterprise Linux 5 | java-1.5.0-ibm | Under investigation | ||
| Red Hat Enterprise Linux 5 | java-1.6.0-ibm | Under investigation | ||
| Red Hat Enterprise Linux 5 | java-1.6.0-openjdk | Under investigation | ||
| Red Hat Enterprise Linux 5 | java-1.6.0-sun | Under investigation | ||
| Red Hat Enterprise Linux 6 | java-1.4.2-ibm-sap | Under investigation | ||
| Red Hat Enterprise Linux 6 | java-1.5.0-ibm | Under investigation | ||
| Red Hat Enterprise Linux 6 | java-1.6.0-ibm | Under investigation | ||
| Red Hat Enterprise Linux 6 | java-1.6.0-openjdk | Under investigation |
Показывать по
Дополнительная информация
Статус:
5 Medium
CVSS2
Связанные уязвимости
Oracle Java SE 7 and earlier, and OpenJDK 7 and earlier, computes hash values without properly restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table, as demonstrated by a universal multicollision attack against the MurmurHash3 algorithm, a different vulnerability than CVE-2012-2739.
Oracle Java SE 7 and earlier, and OpenJDK 7 and earlier, computes hash values without properly restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table, as demonstrated by a universal multicollision attack against the MurmurHash3 algorithm, a different vulnerability than CVE-2012-2739.
Oracle Java SE 7 and earlier, and OpenJDK 7 and earlier, computes hash ...
Oracle Java SE 7 and earlier, and OpenJDK 7 and earlier, computes hash values without properly restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table, as demonstrated by a universal multicollision attack against the MurmurHash3 algorithm, a different vulnerability than CVE-2012-2739.
5 Medium
CVSS2