5.4средняя
BDU:2020-03317 (CVE-2018-10237)
Уязвимость набора Java-библиотек Google Guava, связанная с неограниченным выделением памяти в классах AtomicDoubleArray и CompoundOrdering, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-07-15
Описание
Уязвимость набора Java-библиотек Google Guava связана с неограниченным выделением памяти в классах AtomicDoubleArray и CompoundOrdering. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Red Hat Virtualization (4)WebLogic Server (12.2.1.3.0)OpenShift Container Platform (4.1)OpenShift Container Platform (3.11)JBoss Enterprise Application Platform (6.4)JBoss EAP (7.1)Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Red Hat Software CollectionsRed Hat Single Sign-On (7.2)Red Hat OpenStack Platform (13.0 (Queens))JBoss Enterprise Application Platform (7.1 for RHEL 6)JBoss Enterprise Application Platform (7.1 for RHEL 7)Guava (от 11.0 до 24.1.1)Red Hat JBoss Fuse Integration Service (2)JBoss Enterprise Application Platform (6.4 for RHEL 5)JBoss Enterprise Application Platform (6.4 for RHEL 6)JBoss Enterprise Application Platform (6.4 for RHEL 7)JBoss Enterprise Application Platform Continuous Delivery (13)Red Hat Satellite (6.4 for RHEL 7)Elasticsearch (7.17.14)Logstash (8.12.1)Android Studio (2025.2.3.9)
Способ устранения
Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.
Использование рекомендаций:
Для Guava:
https://groups.google.com/d/topic/guava-announce/xqWALw4W1vs/discussion
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-10237
Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства
Оценка CVSS
| Балл | 5.4 — средняя опасность |
Источники и патчи