BDU:2023-07023: Уязвимость компонента JSSE программной платформы Java SE и виртуальной машины Oracle GraalVM for JDK, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость компонента JSSE программной платформы Java SE и виртуальной машины Oracle GraalVM for JDK связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc., Novell Inc., Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», Oracle Corp., АО «ИВК», АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, Debian GNU/Linux, openSUSE Tumbleweed, РОСА Кобальт (запись в едином реестре российских программ №1999), Java SE, АЛЬТ СП 10, Oracle GraalVM for JDK, Red Hat build of OpenJDK, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), OpenJDK

Версия ПО

  • 7 (Red Hat Enterprise Linux)
  • 12 SP3 (Suse Linux Enterprise Desktop)
  • 12 SP4 (Suse Linux Enterprise Desktop)
  • 12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 8 (Red Hat Enterprise Linux)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 12 SP2-ESPOS (Suse Linux Enterprise Server)
  • 12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP1-LTSS (Suse Linux Enterprise Server)
  • 12 SP2-LTSS (Suse Linux Enterprise Server)
  • 12 SP3-LTSS (Suse Linux Enterprise Server)
  • 12 SP3-BCL (Suse Linux Enterprise Server)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
  • 10 (Debian GNU/Linux)
  • 12 SP3-ESPOS (Suse Linux Enterprise Server)
  • 12 SP2 (Suse Linux Enterprise Desktop)
  • 12 SP2 (Suse Linux Enterprise Server)
  • 15-LTSS (Suse Linux Enterprise Server)
  • 12 SP1 (Suse Linux Enterprise Desktop)
  • 12 SP1 (Suse Linux Enterprise Server)
  • - (openSUSE Tumbleweed)
  • 12 SP4-ESPOS (Suse Linux Enterprise Server)
  • 12 SP4-LTSS (Suse Linux Enterprise Server)
  • 15 SP1-BCL (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (Suse Linux Enterprise Server)
  • 15 SP1 (Suse Linux Enterprise Server)
  • 11 (Debian GNU/Linux)
  • 12 (Debian GNU/Linux)
  • 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 15 SP3 (Suse Linux Enterprise Server)
  • 15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP3 (Suse Linux Enterprise Desktop)
  • 15 SP2 (Suse Linux Enterprise Server)
  • 15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP4 (Suse Linux Enterprise Server)
  • 15 SP2 (Suse Linux Enterprise Desktop)
  • 15 SP4 (Suse Linux Enterprise Desktop)
  • 15 (Suse Linux Enterprise Server)
  • 15 SP2-BCL (Suse Linux Enterprise Server)
  • 15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 9 (Red Hat Enterprise Linux)
  • 15 SP2-LTSS (Suse Linux Enterprise Server)
  • 15 SP1 (Suse Linux Enterprise Desktop)
  • 15 (Suse Linux Enterprise Desktop)
  • 8.2 Telecommunications Update Service (Red Hat Enterprise Linux)
  • 8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.6 Extended Update Support (Red Hat Enterprise Linux)
  • 9.0 Extended Update Support (Red Hat Enterprise Linux)
  • 8.2 Advanced Update Support (Red Hat Enterprise Linux)
  • 7.9 (РОСА Кобальт)
  • 15 SP3-BCL (Suse Linux Enterprise Server)
  • 15 SP5 (Suse Linux Enterprise Desktop)
  • 8.4 Telecommunications Update Service (Red Hat Enterprise Linux)
  • 8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
  • 8u381 (Java SE)
  • 8u381-perf (Java SE)
  • - (АЛЬТ СП 10)
  • 17.0.8 (Java SE)
  • 21 (Java SE)
  • 17.0.8 (Oracle GraalVM for JDK)
  • 21 (Oracle GraalVM for JDK)
  • 11.0.20 (Java SE)
  • 11.0.21 (Red Hat build of OpenJDK)
  • 17.0.9 (Red Hat build of OpenJDK)
  • 8u392 (Red Hat build of OpenJDK)
  • до 2.9 (ОСОН ОСнова Оnyx)
  • до 17.0.9 (OpenJDK)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP3
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP4
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
  • Novell Inc. Suse Linux Enterprise Server 12 SP3
  • Novell Inc. Suse Linux Enterprise Server 12 SP4
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
  • Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
  • Novell Inc. Suse Linux Enterprise Server 12 SP5
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP2
  • Novell Inc. Suse Linux Enterprise Server 12 SP2
  • Novell Inc. Suse Linux Enterprise Server 15-LTSS
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP1
  • Novell Inc. Suse Linux Enterprise Server 12 SP1
  • Novell Inc. openSUSE Tumbleweed -
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
  • Novell Inc. Suse Linux Enterprise Server 15 SP1
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11
  • Сообщество свободного программного обеспечения Debian GNU/Linux 12
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
  • Novell Inc. Suse Linux Enterprise Server 15 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP3
  • Novell Inc. Suse Linux Enterprise Server 15 SP2
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
  • Novell Inc. Suse Linux Enterprise Server 15 SP4
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP2
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP4
  • Novell Inc. Suse Linux Enterprise Server 15
  • Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
  • Red Hat Inc. Red Hat Enterprise Linux 9
  • Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP1
  • Novell Inc. Suse Linux Enterprise Desktop 15
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions
  • Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support
  • АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9 (запись в едином реестре российских программ №1999)
  • Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP5
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
  • АО «ИВК» АЛЬТ СП 10 -
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.9 (запись в едином реестре российских программ №5913)

Тип ошибки

Недостаточная проверка вводимых данных, Неправильное подтверждение подлинности сертификата

Идентификатор типа ошибки

Класс уязвимости

Уязвимость архитектуры

Дата выявления

17.10.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2023.html
https://mail.openjdk.org/pipermail/jdk-updates-dev/2023-October/026352.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-22081

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-22081

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-22081.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2312
Результаты тестирования обновлений:
  • Обновление OpenJDK
  • Статус уязвимости

    Подтверждена производителем

    Наличие эксплойта

    Данные уточняются

    Способ эксплуатации

    • Манипулирование ресурсами
    • Подмена при взаимодействии

    Способ устранения

    Обновление программного обеспечения

    Информация об устранении

    Уязвимость устранена

    Идентификаторы других систем описаний уязвимостей

    Прочая информация

    Данные уточняются
    Последние изменения