ГлавнаяБаза уязвимостей БДУ → BDU:2023-08650
7.8высокая

BDU:2023-08650 (CVE-2021-37137)

Уязвимость функции декодирования кадров сетевого программного средства Netty, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-12-12
Описание

Уязвимость функции декодирования кадров сетевого программного средства Netty связана с неконтролируемым расходом ресурсов Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Oncommand InsightJBoss Data Grid (7)Red Hat Single Sign-On (7)Red Hat JBoss Fuse (6)Red Hat OpenStack Platform (10.0 (Newton))Red Hat OpenStack Platform (13.0 (Queens))Red Hat JBoss Data Virtualization (6)Red Hat BPM Suite (6)Ubuntu (20.04 LTS)A-MQ Clients (2)Oracle Banking Digital Experience (19.1)Oracle Banking Digital Experience (19.2)Oracle Banking Digital Experience (20.1)Ubuntu (16.04 ESM)Red Hat build of QuarkusRed Hat Integration Camel KRed Hat Integration Service RegistryOpenSUSE Leap (15.3)Debian GNU/Linux (11)Debian GNU/Linux (12)Red Hat JBoss BRMS (6)Red Hat JBoss Fuse Service Works (6)Oracle WebCenter Portal (12.2.1.3.0)Oracle WebCenter Portal (12.2.1.4.0)OpenShift Logging (5.1)OpenShift Logging (5.2)OpenShift Logging (5.3)SUSE Manager Server (4.2)SUSE Manager Server (4.1)
Способ устранения

Использование рекомендаций:
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6049-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-37137

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-37137

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20220210-0012/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-37137.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html

Для quarkus:
Обновление программного обеспечения до версии 2.2.4 и выше

Для программных продуктов SonarSource
Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u3

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://ubuntu.com/security/notices/USN-6049-1https://security-tracker.debian.org/tracker/CVE-2021-37137https://access.redhat.com/security/cve/CVE-2021-37137https://security.netapp.com/advisory/ntap-20220210-0012/https://www.suse.com/security/cve/CVE-2021-37137.htmlhttps://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.html
Проверьте безопасность своего сайта и почты → Полная проверка домена