10критическая
BDU:2021-00773 (CVE-2020-11612)
Уязвимость реализации класса ZlibDecoders сетевого программного средства Netty, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-02-16
Описание
Уязвимость реализации класса ZlibDecoders сетевого программного средства Netty связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)WebCenter Portal (12.2.1.3.0)Debian GNU/Linux (10)WebCenter Portal (12.2.1.4.0)Oracle Communications Messaging Server (8.1.0)Fedora (33)Oracle Banking Corporate Lending (от 14.0.0 до 14.4.0 включительно)Oracle FLEXCUBE Universal Banking (от 14.0.0 до 14.4.0 включительно)Oracle Banking Liquidity Management (от 14.0.0 до 14.4.0 включительно)Oracle Banking Credit Facilities Process Management (14.1.0)Oracle Banking Credit Facilities Process Management (14.3.0)Oracle Banking Credit Facilities Process Management (14.4.0)Oracle Banking Payments (14.4.0)Oracle Banking Supply Chain Finance (от 14.2.0 до 14.4.0 включительно)Oracle Banking Trade Finance Process Management (14.1.0)Oracle Banking Trade Finance Process Management (14.3.0)Oracle Banking Trade Finance Process Management (14.4.0)Oracle Banking Virtual Account Management (14.1.0)Oracle Banking Virtual Account Management (14.3.0)Oracle Banking Virtual Account Management (14.4.0)netty (от 4.1 до 4.1.46)NoSQL Database (до 20.3)Oracle Communications Design Studio (7.4.2)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения
Использование рекомендаций производителя:
Для netty:
https://github.com/netty/netty/issues/6168
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/09/msg00003.html
https://security-tracker.debian.org/tracker/CVE-2020-11612
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TS6VX7OMXPDJIU5LRGUAHRK6MENAVJ46/
Для Ubuntu:
https://usn.ubuntu.com/usn/usn-4600-2
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u2
Для ОС ОН «Стрелец»:
Обновление программного обеспечения netty до версии 1:4.1.7-2+deb9u3
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи