BDU:2023-07023: Уязвимость компонента JSSE программной платформы Java SE и виртуальной машины Oracle GraalVM for JDK, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость компонента JSSE программной платформы Java SE и виртуальной машины Oracle GraalVM for JDK связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Red Hat Inc., Novell Inc., Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», Oracle Corp., АО «ИВК», АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, Debian GNU/Linux, openSUSE Tumbleweed, РОСА Кобальт (запись в едином реестре российских программ №1999), Java SE, АЛЬТ СП 10, Oracle GraalVM for JDK, Red Hat build of OpenJDK, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), OpenJDK
Версия ПО 7 (Red Hat Enterprise Linux), 12 SP3 (Suse Linux Enterprise Desktop), 12 SP4 (Suse Linux Enterprise Desktop), 12 SP2 (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 12 SP4 (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (Suse Linux Enterprise Server), 12 SP4 (Suse Linux Enterprise Server), 8 (Red Hat Enterprise Linux), 12 SP2-BCL (Suse Linux Enterprise Server), 12 SP2-ESPOS (Suse Linux Enterprise Server), 12 SP1 (SUSE Linux Enterprise Server for SAP Applications), 15 (SUSE Linux Enterprise Server for SAP Applications), 15 SP1 (SUSE Linux Enterprise Server for SAP Applications), 12 SP1-LTSS (Suse Linux Enterprise Server), 12 SP2-LTSS (Suse Linux Enterprise Server), 12 SP3-LTSS (Suse Linux Enterprise Server), 12 SP3-BCL (Suse Linux Enterprise Server), 12 SP5 (Suse Linux Enterprise Server), 12 SP5 (SUSE Linux Enterprise Server for SAP Applications), 10 (Debian GNU/Linux), 12 SP3-ESPOS (Suse Linux Enterprise Server), 12 SP2 (Suse Linux Enterprise Desktop), 12 SP2 (Suse Linux Enterprise Server), 15-LTSS (Suse Linux Enterprise Server), 12 SP1 (Suse Linux Enterprise Desktop), 12 SP1 (Suse Linux Enterprise Server), - (openSUSE Tumbleweed), 12 SP4-ESPOS (Suse Linux Enterprise Server), 12 SP4-LTSS (Suse Linux Enterprise Server), 15 SP1-BCL (Suse Linux Enterprise Server), 15 SP1-LTSS (Suse Linux Enterprise Server), 15 SP1 (Suse Linux Enterprise Server), 11 (Debian GNU/Linux), 12 (Debian GNU/Linux), 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux), 15 SP3 (Suse Linux Enterprise Server), 15 SP3 (SUSE Linux Enterprise Server for SAP Applications), 15 SP3 (Suse Linux Enterprise Desktop), 15 SP2 (Suse Linux Enterprise Server), 15 SP2 (SUSE Linux Enterprise Server for SAP Applications), 15 SP4 (Suse Linux Enterprise Server), 15 SP2 (Suse Linux Enterprise Desktop), 15 SP4 (Suse Linux Enterprise Desktop), 15 (Suse Linux Enterprise Server), 15 SP2-BCL (Suse Linux Enterprise Server), 15 SP4 (SUSE Linux Enterprise Server for SAP Applications), 9 (Red Hat Enterprise Linux), 15 SP2-LTSS (Suse Linux Enterprise Server), 15 SP1 (Suse Linux Enterprise Desktop), 15 (Suse Linux Enterprise Desktop), 8.2 Telecommunications Update Service (Red Hat Enterprise Linux), 8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux), 8.6 Extended Update Support (Red Hat Enterprise Linux), 9.0 Extended Update Support (Red Hat Enterprise Linux), 8.2 Advanced Update Support (Red Hat Enterprise Linux), 7.9 (РОСА Кобальт), 15 SP3-BCL (Suse Linux Enterprise Server), 15 SP5 (Suse Linux Enterprise Desktop), 8.4 Telecommunications Update Service (Red Hat Enterprise Linux), 8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux), 8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux), 8u381 (Java SE), 8u381-perf (Java SE), - (АЛЬТ СП 10), 17.0.8 (Java SE), 21 (Java SE), 17.0.8 (Oracle GraalVM for JDK), 21 (Oracle GraalVM for JDK), 11.0.20 (Java SE), 11.0.21 (Red Hat build of OpenJDK), 17.0.9 (Red Hat build of OpenJDK), 8u392 (Red Hat build of OpenJDK), до 2.9 (ОСОН ОСнова Оnyx), до 17.0.9 (OpenJDK)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP3 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP5 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP2 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2 Не указана
  • Novell Inc. Suse Linux Enterprise Server 15-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP1 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP1 Не указана
  • Novell Inc. openSUSE Tumbleweed - Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP1 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 12 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP3 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP3 Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP2 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP4 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP2 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP4 Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 9 Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP1 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 15 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support Не указана
  • АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9 Не указана (запись в едином реестре российских программ №1999)
  • Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP5 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support Не указана
  • АО «ИВК» АЛЬТ СП 10 - Не указана
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.9 Не указана (запись в едином реестре российских программ №5913)
Тип ошибки Недостаточная проверка вводимых данных, Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки CWE-20, CWE-295
Класс уязвимости Уязвимость архитектуры
Дата выявления 17.10.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2023.html
https://mail.openjdk.org/pipermail/jdk-updates-dev/2023-October/026352.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-22081

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-22081

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-22081.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2312
Результаты тестирования обновлений:
  • Обновление OpenJDK
  • Статус уязвимости Подтверждена производителем
    Наличие эксплойта Данные уточняются
    Способ эксплуатации
    • Манипулирование ресурсами
    • Подмена при взаимодействии
    Способ устранения Обновление программного обеспечения
    Информация об устранении Уязвимость устранена
    Ссылки на источники
    Идентификаторы других систем описаний уязвимостей
    Прочая информация Данные уточняются