7.8высокая
BDU:2023-05622
Уязвимость декодера Bzip2Decoder сетевого программного средства Netty, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-14
Описание
Уязвимость декодера Bzip2Decoder сетевого программного средства Netty связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
PeopleSoft Enterprise PeopleTools (8.57)Oracle Communications Messaging Server (8.1)Debian GNU/Linux (10)SnapCenterOncommand InsightOracle Coherence (12.2.1.4.0)PeopleSoft Enterprise PeopleTools (8.58)Oracle Coherence (14.1.1.0.0)Oracle Banking Digital Experience (19.1)Oracle Banking Digital Experience (19.2)Oracle Banking Digital Experience (20.1)Debian GNU/Linux (11)Oracle WebCenter Portal (12.2.1.3.0)Oracle WebCenter Portal (12.2.1.4.0)PeopleSoft Enterprise PeopleTools (8.59)Active IQ Unified Manager for Microsoft WindowsOracle Banking Digital Experience (21.1)Oracle Banking APIs (от 18.1 до 18.3 включительно)Oracle Banking APIs (19.1)Oracle Banking APIs (19.2)Oracle Banking APIs (20.1)Oracle Banking APIs (21.1)Helidon (1.4.10)Oracle Communications Cloud Native Core Policy (1.15.0)Commerce Guided Search (11.3.2)Communications Cloud Native Core Binding Support Function (1.10.0)Communications Diameter Signaling Router (от 8.0.0.0 до 8.5.0.2 включительно)ОСОН ОСнова Оnyx (до 2.7)Oracle Communications Cloud Native Core Unified Data Repository (1.15.0)Cassandra (4.1.3)
Способ устранения
Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для Netty:
https://github.com/netty/netty/security/advisories/GHSA-grg4-wf29-r9vv
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/01/msg00008.html
https://www.debian.org/security/2023/dsa-5316
Для программных продуктов Netapp:
https://security.netapp.com/advisory/ntap-20220210-0012/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u3
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи