ГлавнаяБаза уязвимостей БДУ → BDU:2020-03317
5.4средняя

BDU:2020-03317 (CVE-2018-10237)

Уязвимость набора Java-библиотек Google Guava, связанная с неограниченным выделением памяти в классах AtomicDoubleArray и CompoundOrdering, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-07-15
Описание

Уязвимость набора Java-библиотек Google Guava связана с неограниченным выделением памяти в классах AtomicDoubleArray и CompoundOrdering. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Virtualization (4)WebLogic Server (12.2.1.3.0)OpenShift Container Platform (4.1)OpenShift Container Platform (3.11)JBoss Enterprise Application Platform (6.4)JBoss EAP (7.1)Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Red Hat Software CollectionsRed Hat Single Sign-On (7.2)Red Hat OpenStack Platform (13.0 (Queens))JBoss Enterprise Application Platform (7.1 for RHEL 6)JBoss Enterprise Application Platform (7.1 for RHEL 7)Guava (от 11.0 до 24.1.1)Red Hat JBoss Fuse Integration Service (2)JBoss Enterprise Application Platform (6.4 for RHEL 5)JBoss Enterprise Application Platform (6.4 for RHEL 6)JBoss Enterprise Application Platform (6.4 for RHEL 7)JBoss Enterprise Application Platform Continuous Delivery (13)Red Hat Satellite (6.4 for RHEL 7)Elasticsearch (7.17.14)Logstash (8.12.1)Android Studio (2025.2.3.9)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.

Использование рекомендаций:
Для Guava:
https://groups.google.com/d/topic/guava-announce/xqWALw4W1vs/discussion

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-10237

Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://groups.google.com/d/topic/guava-announce/xqWALw4W1vs/discussionhttps://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://access.redhat.com/security/cve/CVE-2018-10237http://www.securitytracker.com/id/1041707https://nvd.nist.gov/vuln/detail/CVE-2018-10237https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpujul2020.html
Проверьте безопасность своего сайта и почты → Полная проверка домена