PT-2021-1873 · Eclipse+4 · Eclipse Openj9+4

Peter Shipton

·

Publicado

2021-01-21

·

Atualizado

2021-03-15

·

CVE-2020-27221

CVSS v3.1

10

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Eclipse OpenJ9 até a 0.23, inclusive
Descrição
O problema está relacionado a erros no tratamento de dados codificados em UTF-8. Isso pode permitir que um invasor remoto execute código arbitrário. O problema ocorre quando a máquina virtual ou os nativos JNI estão convertendo caracteres UTF-8 para a codificação da plataforma, o que pode levar a um estouro de buffer baseado na pilha.
Recomendações
Para versões do Eclipse OpenJ9 até a 0.23, inclusive, considere desativar a funcionalidade de conversão UTF-8 até que um patch esteja disponível.
Restrinja o acesso à máquina virtual ou aos nativos JNI para minimizar o risco de exploração.
Evite usar a codificação UTF-8 na máquina virtual ou nos nativos JNI afetados até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Memory Corruption

Stack Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-121

Identificadores relacionados

BDU:2021-00642
CESA-2021_0736
CVE-2020-27221
RHSA-2021:0717
RHSA-2021:0733
RHSA-2021:0736
RHSA-2021_0717
RHSA-2021_0733
RHSA-2021_0736
SUSE-SU-2021:0512-1
SUSE-SU-2021:0652-1
SUSE-SU-2021:0670-1
SUSE-SU-2021:14634-1
SUSE-SU-2021:14640-1
SUSE-SU-2021_14634-1

Produtos afetados

Centos
Eclipse Openj9
Ibm Aix
Red Hat
Suse