Уязвимость BDU:2022-02686

Идентификатор: BDU:2022-02686.

Наименование уязвимости: Уязвимость компонента Libraries программных платформ Java SE, виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю раскрыть защищаемую информацию.

Описание уязвимости: Уязвимость компонента Libraries программных платформ Java SE, виртуальной машины Oracle GraalVM Enterprise Edition связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support | Операционная система Canonical Ltd. Ubuntu 16.04 ESM | Операционная система Debian GNU/Linux 11 | Операционная система Debian GNU/Linux 12 | Операционная система Canonical Ltd. Ubuntu 21.10 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support | Операционная система АО «ИВК» Альт 8 СП — | Прикладное ПО информационных систем Oracle Corp. Java SE 7u331 | Прикладное ПО информационных систем Oracle Corp. Java SE 8u321 | Прикладное ПО информационных систем Oracle Corp. Java SE 11.0.14 | Прикладное ПО информационных систем Oracle Corp. Java SE 17.0.2 | Прикладное ПО информационных систем Oracle Corp. Java SE 18 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 20.3.5 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 21.3.1 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 22.0.0.2 | Операционная система Canonical Ltd. Ubuntu 22.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Сетевое средство, Сетевое программное средство IBM Corp. IBM Cloud Object Storage Systems от 3.16.0.121 до 3.16.7.55 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.5 | Операционная система АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9 | Операционная система Canonical Ltd. Ubuntu 18.04 ESM | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 20.10.2023 | Прикладное ПО информационных систем Red Hat Inc. Red Hat build of OpenJDK 11.0.15 | Прикладное ПО информационных систем Red Hat Inc. Red Hat build of OpenJDK 17.0.3 | Прикладное ПО информационных систем Red Hat Inc. Red Hat build of OpenJDK 8u332 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 8u331 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 11.0.14.1.1 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 17.0.2.1 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 7u341 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 8u332 |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 7 | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Ubuntu 2004 LTS | Red Hat Enterprise Linux 82 Extended Update Support | Ubuntu 1604 ESM | Debian GNU/Linux 11 | Debian GNU/Linux 12 | Ubuntu 2110 | Red Hat Enterprise Linux 81 Update Services for SAP Solutions | Red Hat Enterprise Linux 84 Extended Update Support | Альт 8 СП — | Ubuntu 2204 LTS | Red Hat Enterprise Linux 9 | ОСОН ОСнова Оnyx до 25 | РОСА Кобальт 79 | Ubuntu 1804 ESM | ОС ОН «Стрелец» до 20102023 |
Дата выявления: 19.04.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2022.html

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-openjdk-gnutls-affect-ibm-cloud-object-storage-systems-august-2022v1/

Для ОСОН Основа:

Обновление программного обеспечения openjdk-11 до версии 11.0.15+10.repack-1~deb10u1.osnova18

Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2138

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openjdk-8 до версии 8u332-ga-repack1+deb9u1.osnova12

Для Axiom JDK:
https://axiomjdk.ru/announcements/2022/04/21/axiom-18-0-1-17-0-3-11-0-15-and-8u332-builds-are-generally-available/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-21476

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-21476

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5388-1
https://ubuntu.com/security/notices/USN-5388-2
https://ubuntu.com/security/notices/USN-5546-1
https://ubuntu.com/security/notices/USN-5546-2

Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-21476.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/security-alerts/cpuapr2022.html
https://altsp.su/obnovleniya-bezopasnosti/
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-openjdk-gnutls-affect-ibm-cloud-object-storage-systems-august-2022v1/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2138
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#20102023
https://axiomjdk.ru/announcements/2022/04/21/axiom-18-0-1-17-0-3-11-0-15-and-8u332-builds-are-generally-available/
https://security-tracker.debian.org/tracker/CVE-2022-21476
https://access.redhat.com/security/cve/CVE-2022-21476
https://ubuntu.com/security/notices/USN-5388-1
https://ubuntu.com/security/notices/USN-5388-2
https://ubuntu.com/security/notices/USN-5546-1
https://ubuntu.com/security/notices/USN-5546-2
https://axiomjdk.ru/blog/