Описание уязвимости | Уязвимость компонента JSSE программной платформы Java SE и виртуальной машины Oracle GraalVM for JDK связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании |
Вендор | Red Hat Inc., Novell Inc., Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», Oracle Corp., АО «ИВК», АО "НППКТ" |
Наименование ПО | Red Hat Enterprise Linux, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, Debian GNU/Linux, openSUSE Tumbleweed, РОСА Кобальт (запись в едином реестре российских программ №1999), Java SE, АЛЬТ СП 10, Oracle GraalVM for JDK, Red Hat build of OpenJDK, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), OpenJDK |
Версия ПО | 7 (Red Hat Enterprise Linux), 12 SP3 (Suse Linux Enterprise Desktop), 12 SP4 (Suse Linux Enterprise Desktop), 12 SP2 (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 12 SP4 (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (Suse Linux Enterprise Server), 12 SP4 (Suse Linux Enterprise Server), 8 (Red Hat Enterprise Linux), 12 SP2-BCL (Suse Linux Enterprise Server), 12 SP2-ESPOS (Suse Linux Enterprise Server), 12 SP1 (SUSE Linux Enterprise Server for SAP Applications), 15 (SUSE Linux Enterprise Server for SAP Applications), 15 SP1 (SUSE Linux Enterprise Server for SAP Applications), 12 SP1-LTSS (Suse Linux Enterprise Server), 12 SP2-LTSS (Suse Linux Enterprise Server), 12 SP3-LTSS (Suse Linux Enterprise Server), 12 SP3-BCL (Suse Linux Enterprise Server), 12 SP5 (Suse Linux Enterprise Server), 12 SP5 (SUSE Linux Enterprise Server for SAP Applications), 10 (Debian GNU/Linux), 12 SP3-ESPOS (Suse Linux Enterprise Server), 12 SP2 (Suse Linux Enterprise Desktop), 12 SP2 (Suse Linux Enterprise Server), 15-LTSS (Suse Linux Enterprise Server), 12 SP1 (Suse Linux Enterprise Desktop), 12 SP1 (Suse Linux Enterprise Server), - (openSUSE Tumbleweed), 12 SP4-ESPOS (Suse Linux Enterprise Server), 12 SP4-LTSS (Suse Linux Enterprise Server), 15 SP1-BCL (Suse Linux Enterprise Server), 15 SP1-LTSS (Suse Linux Enterprise Server), 15 SP1 (Suse Linux Enterprise Server), 11 (Debian GNU/Linux), 12 (Debian GNU/Linux), 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux), 15 SP3 (Suse Linux Enterprise Server), 15 SP3 (SUSE Linux Enterprise Server for SAP Applications), 15 SP3 (Suse Linux Enterprise Desktop), 15 SP2 (Suse Linux Enterprise Server), 15 SP2 (SUSE Linux Enterprise Server for SAP Applications), 15 SP4 (Suse Linux Enterprise Server), 15 SP2 (Suse Linux Enterprise Desktop), 15 SP4 (Suse Linux Enterprise Desktop), 15 (Suse Linux Enterprise Server), 15 SP2-BCL (Suse Linux Enterprise Server), 15 SP4 (SUSE Linux Enterprise Server for SAP Applications), 9 (Red Hat Enterprise Linux), 15 SP2-LTSS (Suse Linux Enterprise Server), 15 SP1 (Suse Linux Enterprise Desktop), 15 (Suse Linux Enterprise Desktop), 8.2 Telecommunications Update Service (Red Hat Enterprise Linux), 8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux), 8.6 Extended Update Support (Red Hat Enterprise Linux), 9.0 Extended Update Support (Red Hat Enterprise Linux), 8.2 Advanced Update Support (Red Hat Enterprise Linux), 7.9 (РОСА Кобальт), 15 SP3-BCL (Suse Linux Enterprise Server), 15 SP5 (Suse Linux Enterprise Desktop), 8.4 Telecommunications Update Service (Red Hat Enterprise Linux), 8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux), 8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux), 8u381 (Java SE), 8u381-perf (Java SE), - (АЛЬТ СП 10), 17.0.8 (Java SE), 21 (Java SE), 17.0.8 (Oracle GraalVM for JDK), 21 (Oracle GraalVM for JDK), 11.0.20 (Java SE), 11.0.21 (Red Hat build of OpenJDK), 17.0.9 (Red Hat build of OpenJDK), 8u392 (Red Hat build of OpenJDK), до 2.9 (ОСОН ОСнова Оnyx), до 17.0.9 (OpenJDK) |
Тип ПО | Операционная система, Прикладное ПО информационных систем |
Операционные системы и аппаратные платформы |
|
Тип ошибки | Недостаточная проверка вводимых данных, Неправильное подтверждение подлинности сертификата |
Идентификатор типа ошибки | CWE-20, CWE-295 |
Класс уязвимости | Уязвимость архитектуры |
Дата выявления | 17.10.2023 |
Базовый вектор уязвимости |
|
Уровень опасности уязвимости | Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3) |
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuoct2023.html https://mail.openjdk.org/pipermail/jdk-updates-dev/2023-October/026352.html Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-22081 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-22081 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-22081.html Для ОСОН ОСнова Оnyx: Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21 Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2312 Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Результаты тестирования обновлений: |
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Данные уточняются |
Способ эксплуатации |
|
Способ устранения | Обновление программного обеспечения |
Информация об устранении | Уязвимость устранена |
Ссылки на источники |
https://www.oracle.com/security-alerts/cpuoct2023.html
https://security-tracker.debian.org/tracker/CVE-2023-22081
https://mail.openjdk.org/pipermail/jdk-updates-dev/2023-October/026352.html
https://access.redhat.com/security/cve/CVE-2023-22081
https://www.suse.com/security/cve/CVE-2023-22081.html
https://www.cybersecurity-help.cz/vdb/SB2023102035
https://www.cybersecurity-help.cz/vdb/SB2023102036
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
https://altsp.su/obnovleniya-bezopasnosti/
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2312
https://altsp.su/obnovleniya-bezopasnosti/
|
Идентификаторы других систем описаний уязвимостей |
|
Прочая информация | Данные уточняются |