ГлавнаяБаза уязвимостей БДУ → BDU:2023-05622
7.8высокая

BDU:2023-05622

Уязвимость декодера Bzip2Decoder сетевого программного средства Netty, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-14
Описание

Уязвимость декодера Bzip2Decoder сетевого программного средства Netty связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
PeopleSoft Enterprise PeopleTools (8.57)Oracle Communications Messaging Server (8.1)Debian GNU/Linux (10)SnapCenterOncommand InsightOracle Coherence (12.2.1.4.0)PeopleSoft Enterprise PeopleTools (8.58)Oracle Coherence (14.1.1.0.0)Oracle Banking Digital Experience (19.1)Oracle Banking Digital Experience (19.2)Oracle Banking Digital Experience (20.1)Debian GNU/Linux (11)Oracle WebCenter Portal (12.2.1.3.0)Oracle WebCenter Portal (12.2.1.4.0)PeopleSoft Enterprise PeopleTools (8.59)Active IQ Unified Manager for Microsoft WindowsOracle Banking Digital Experience (21.1)Oracle Banking APIs (от 18.1 до 18.3 включительно)Oracle Banking APIs (19.1)Oracle Banking APIs (19.2)Oracle Banking APIs (20.1)Oracle Banking APIs (21.1)Helidon (1.4.10)Oracle Communications Cloud Native Core Policy (1.15.0)Commerce Guided Search (11.3.2)Communications Cloud Native Core Binding Support Function (1.10.0)Communications Diameter Signaling Router (от 8.0.0.0 до 8.5.0.2 включительно)ОСОН ОСнова Оnyx (до 2.7)Oracle Communications Cloud Native Core Unified Data Repository (1.15.0)Cassandra (4.1.3)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для Netty:
https://github.com/netty/netty/security/advisories/GHSA-grg4-wf29-r9vv

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/01/msg00008.html
https://www.debian.org/security/2023/dsa-5316

Для программных продуктов Netapp:
https://security.netapp.com/advisory/ntap-20220210-0012/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u3

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/netty/netty/security/advisories/GHSA-grg4-wf29-r9vvhttps://lists.apache.org/thread.html/r06a145c9bd41a7344da242cef07977b24abe3349161ede948e30913d@%3Ccommits.druid.apache.org%3Ehttps://lists.apache.org/thread.html/r5406eaf3b07577d233b9f07cfc8f26e28369e6bab5edfcab41f28abb@%3Ccommits.druid.apache.org%3Ehttps://lists.apache.org/thread.html/r5e05eba32476c580412f9fbdfc9b8782d5b40558018ac4ac07192a04@%3Ccommits.druid.apache.org%3Ehttps://lists.apache.org/thread.html/r75490c61c2cb7b6ae2c81238fd52ae13636c60435abcd732d41531a0@%3Ccommits.druid.apache.org%3Ehttps://lists.apache.org/thread.html/rd262f59b1586a108e320e5c966feeafbb1b8cdc96965debc7cc10b16@%3Ccommits.druid.apache.org%3Ehttps://lists.apache.org/thread.html/rfb2bf8597e53364ccab212fbcbb2a4e9f0a9e1429b1dc08023c6868e@%3Cdev.tinkerpop.apache.org%3Ehttps://lists.debian.org/debian-lts-announce/2023/01/msg00008.html
Проверьте безопасность своего сайта и почты → Полная проверка домена