CVE-2024-21085

Nome do software vulnerável e versões afetadas:

Oracle Java SE versões 8u401, 8u401-perf, 11.0.22

Oracle GraalVM Enterprise Edition versões 20.3.13, 21.3.9

Descrição:

O problema está relacionado à validação insuficiente de entradas no componente Concurrency do Oracle Java SE e do Oracle GraalVM Enterprise Edition. Isso pode ser explorado por um invasor não autenticado com acesso à rede por meio de vários protocolos, levando potencialmente a uma negação de serviço (DOS) parcial dos sistemas afetados. A vulnerabilidade pode ser explorada por meio de APIs no componente especificado, por exemplo, via um serviço web que fornece dados às APIs. Ela também afeta implantações Java que carregam e executam código não confiável da internet e dependem da sandbox do Java para segurança.

Recomendações:

Para as versões 8u401, 8u401-perf e 11.0.22 do Oracle Java SE, considere atualizar para uma versão mais recente para mitigar o risco.

Para as versões 20.3.13 e 21.3.9 do Oracle GraalVM Enterprise Edition, considere atualizar para uma versão mais recente para mitigar o risco.

Como solução alternativa temporária, considere restringir o acesso ao componente Concurrency até que um patch esteja disponível.

Evite usar APIs no componente Concurrency que forneçam dados de fontes não confiáveis até que o problema seja resolvido.