PT-2021-7851 · Oracle+11 · Java Se+13
Tristen Hayfield
·
Publicado
2021-10-19
·
Atualizado
2026-05-08
·
CVE-2021-35565
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões 7u311, 8u301 e 11.0.12 do Java SE
Versões 20.3.3 e 21.2.0 do Oracle GraalVM Enterprise Edition
Descrição
O problema está relacionado ao componente JSSE e envolve a execução de um loop com uma condição de saída indisponível. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade pode ser explorada fornecendo dados às APIs no componente especificado sem usar aplicativos Java Web Start não confiáveis ou applets Java não confiáveis, como por meio de um serviço web. Ataques bem-sucedidos podem resultar na capacidade não autorizada de causar uma negação de serviço parcial do Java SE, Oracle GraalVM Enterprise Edition.
Recomendações
Para as versões 7u311, 8u301 e 11.0.12 do Java SE, atualize para uma versão que inclua a correção para este problema.
Para as versões 20.3.3 e 21.2.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao componente JSSE para minimizar o risco de exploração.
Evite usar o componente JSSE nos pontos de extremidade da API afetados até que o problema seja resolvido.
Correção
Infinite Loop
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Ibm Aix
Java Platform
Java Se
Linuxmint
Oracle Graalvm Enterprise Edition
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu