PT-2021-6672 · Oracle+11 · Java Se+13

Publicado

2021-11-15

·

Atualizado

2026-05-08

·

CVE-2022-21365

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do software vulnerável e versões afetadas
Versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE
Versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition
Descrição
O problema está relacionado a um estouro de inteiro no componente ImageIO do Oracle Java SE e do Oracle GraalVM Enterprise Edition. Isso pode ser explorado por um invasor não autenticado com acesso à rede por meio de vários protocolos para causar uma negação de serviço parcial. A vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado, como por meio de um serviço web que fornece dados às APIs.
Recomendações
Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que não seja afetada por este problema.
Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que não seja afetada por este problema.
Como solução alternativa temporária, considere restringir o acesso ao componente ImageIO até que um patch esteja disponível.
Evite usar APIs no componente especificado que possam fornecer dados a fontes não confiáveis até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Allocation of Resources Without Limits

Integer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-190

Identificadores relacionados

ALSA-2022:0161
ALSA-2022:0185
ALSA-2022:0307
ALT-PU-2022-7652
ALT-PU-2022-7653
ALT-PU-2022-7654
ALT-PU-2022-7655
BDU:2022-02011
BIT-JAVA-2022-21365
BIT-JAVA-MIN-2022-21365
BIT-JRE-2022-21365
CESA-2022_0161
CESA-2022_0185
CESA-2022_0204
CESA-2022_0306
CESA-2022_0307
CESA-2022_0970
CVE-2022-21365
DLA-2917-1
DSA-5057-1
DSA-5058-1
OESA-2022-1696
OESA-2022-1702
OESA-2022-1813
OPENSUSE-SU-2022:0816-1
OPENSUSE-SU-2022:0870-1
OPENSUSE-SU-2022:0873-1
OPENSUSE-SU-2022:1027-1
OPENSUSE-SU-2022_0816-1
OPENSUSE-SU-2022_0870-1
OPENSUSE-SU-2022_0873-1
OPENSUSE-SU-2022_1027-1
OPENSUSE-SU-2024:11798-1
OPENSUSE-SU-2024:11799-1
OPENSUSE-SU-2024:11800-1
OPENSUSE-SU-2024:11810-1
OPENSUSE-SU-2024:11895-1
OPENSUSE-SU-2024:11896-1
RHSA-2022:0161
RHSA-2022:0185
RHSA-2022:0204
RHSA-2022:0209
RHSA-2022:0211
RHSA-2022:0233
RHSA-2022:0304
RHSA-2022:0305
RHSA-2022:0306
RHSA-2022:0307
RHSA-2022:0312
RHSA-2022:0968
RHSA-2022:0969
RHSA-2022:0970
RHSA-2022_0161
RHSA-2022_0185
RHSA-2022_0204
RHSA-2022_0306
RHSA-2022_0307
RHSA-2022_0968
RHSA-2022_0969
RHSA-2022_0970
RLSA-2022:0161
RLSA-2022:0185
RLSA-2022:0307
ROSA-SA-2023-2136
SUSE-SU-2022:0730-1
SUSE-SU-2022:0816-1
SUSE-SU-2022:0871-1
SUSE-SU-2022:0873-1
SUSE-SU-2022:1025-1
SUSE-SU-2022:1026-1
SUSE-SU-2022:1027-1
SUSE-SU-2022:14926-1
SUSE-SU-2022:14927-1
SUSE-SU-2022_14927-1
USN-5313-1
USN-5313-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Graalvm Enterprise Edition
Ibm Aix
Java Platform
Java Se
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu