ГлавнаяБаза уязвимостей БДУ → BDU:2021-00773
10критическая

BDU:2021-00773 (CVE-2020-11612)

Уязвимость реализации класса ZlibDecoders сетевого программного средства Netty, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-02-16
Описание

Уязвимость реализации класса ZlibDecoders сетевого программного средства Netty связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)WebCenter Portal (12.2.1.3.0)Debian GNU/Linux (10)WebCenter Portal (12.2.1.4.0)Oracle Communications Messaging Server (8.1.0)Fedora (33)Oracle Banking Corporate Lending (от 14.0.0 до 14.4.0 включительно)Oracle FLEXCUBE Universal Banking (от 14.0.0 до 14.4.0 включительно)Oracle Banking Liquidity Management (от 14.0.0 до 14.4.0 включительно)Oracle Banking Credit Facilities Process Management (14.1.0)Oracle Banking Credit Facilities Process Management (14.3.0)Oracle Banking Credit Facilities Process Management (14.4.0)Oracle Banking Payments (14.4.0)Oracle Banking Supply Chain Finance (от 14.2.0 до 14.4.0 включительно)Oracle Banking Trade Finance Process Management (14.1.0)Oracle Banking Trade Finance Process Management (14.3.0)Oracle Banking Trade Finance Process Management (14.4.0)Oracle Banking Virtual Account Management (14.1.0)Oracle Banking Virtual Account Management (14.3.0)Oracle Banking Virtual Account Management (14.4.0)netty (от 4.1 до 4.1.46)NoSQL Database (до 20.3)Oracle Communications Design Studio (7.4.2)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций производителя:
Для netty:
https://github.com/netty/netty/issues/6168

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/09/msg00003.html
https://security-tracker.debian.org/tracker/CVE-2020-11612

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TS6VX7OMXPDJIU5LRGUAHRK6MENAVJ46/

Для Ubuntu:
https://usn.ubuntu.com/usn/usn-4600-2

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u2

Для ОС ОН «Стрелец»:
Обновление программного обеспечения netty до версии 1:4.1.7-2+deb9u3

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://lists.debian.org/debian-lts-announce/2020/09/msg00003.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TS6VX7OMXPDJIU5LRGUAHRK6MENAVJ46/https://github.com/netty/netty/issues/6168https://security-tracker.debian.org/tracker/CVE-2020-11612https://www.oracle.com/security-alerts/cpuapr2021.htmlhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена