PT-2022-6858 · Oracle+10 · Graalvm Enterprise Edition+12
Markus Loewe
·
Publicado
2022-04-19
·
Atualizado
2025-02-18
·
CVE-2022-21443
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:N/A:P |
Nome do software vulnerável e versões afetadas
Oracle Java SE versões 7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM Enterprise Edition versões 20.3.5, 21.3.1, 22.0.0.2
Descrição
O problema está relacionado a um invasor não autenticado com acesso à rede por meio de vários protocolos, capaz de comprometer o Oracle Java SE e o Oracle GraalVM Enterprise Edition, resultando em uma negação parcial de serviço. Essa vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada usando APIs no componente especificado, por exemplo, por meio de um serviço web que fornece dados às APIs.
Recomendações
Para as versões 7u331, 8u321, 11.0.14, 17.0.2 e 18 do Oracle Java SE, atualize para uma versão que contenha a correção para este problema.
Para as versões 20.3.5, 21.3.1 e 22.0.0.2 do Oracle GraalVM Enterprise Edition, atualize para uma versão que contenha a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao componente Libraries vulnerável até que um patch esteja disponível.
Evite usar APIs no componente especificado, por exemplo, por meio de um serviço web, até que o problema seja resolvido.
Exploit
Correção
Integer Underflow
Allocation of Resources Without Limits
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Graalvm Enterprise Edition
Ibm Aix
Java Platform
Java Se
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu