ГлавнаяБаза уязвимостей БДУ → BDU:2024-00592
7.8высокая

BDU:2024-00592 (CVE-2023-31582)

Уязвимость JWT-библиотеки Jose4j, связанная с использованием алгоритма, обеспечивающего недостаточную энтропию, позволяющая нарушителю обойти ограничения безопасности
Опубликовано: 2024-01-24
Описание

Уязвимость JWT-библиотеки Jose4j связана с использованием алгоритма, обеспечивающего недостаточную энтропию. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности

Затрагиваемое ПО и версии
Red Hat Process Automation (7)Red Hat Integration Service RegistryJose4j (до 0.9.3)Red Hat Data Grid (8.4.6)Red Hat AMQ Streams (2.6.0)Oracle Communications Cloud Native Core Unified Data Repository (23.3.1)Oracle Communications Cloud Native Core Network Repository Function (23.1.4)Oracle Communications Cloud Native Core Network Repository Function (23.3.1)Communications Cloud Native Core Network Exposure Function (23.3.1)
Способ устранения

Использование рекомендаций:
Для Jose4j:
https://bitbucket.org/b_c/jose4j/commits/1929fe3

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-31582

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2024.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://safe-surf.ru/upload/VULN-new/VULN.2024-01-19.1.pdfhttps://access.redhat.com/security/cve/cve-2023-31582https://bitbucket.org/b_c/jose4j/issues/203/insecure-support-of-setting-pbe-less-thenhttps://github.com/KANIXB/JWTIssues/blob/main/jose4j%20issue.mdhttps://www.oracle.com/security-alerts/cpujan2024.htmlhttps://www.oracle.com/security-alerts/cpujan2024verbose.html#CGBU
Проверьте безопасность своего сайта и почты → Полная проверка домена