Vulnerabilidad en el producto Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries) (CVE-2021-2161)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/04/2021
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en el producto Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son Java SE: 7u291, 8u281, 11.0.10, 16; Java SE integrado: 8u281; Oracle GraalVM Enterprise Edition: 19.3.5, 20.3.1.2 y 21.0.0.2. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a las implementaciones de Java que cargan y ejecutan código que no es confiable (p. Ej., código que proviene de Internet) y confía en el sandbox de Java para la seguridad. También puede ser explotado proporcionando datos no confiables a las API en el Componente especificado. CVSS 3.1 Puntuación Base 5.9 (Impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N)
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:jdk:1.7.0:update291:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:1.8.0:update281:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:11.0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jdk:16.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:jre:1.8.0:update281:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:graalvm:19.3.5:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:oracle:graalvm:20.3.1.2:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:oracle:graalvm:21.0.0.2:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:oracle:openjdk:*:*:*:*:*:*:*:* | 11 (incluyendo) | 11.0.10 (incluyendo) |
| cpe:2.3:a:oracle:openjdk:*:*:*:*:*:*:*:* | 13 (incluyendo) | 13.0.6 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.azul.com/core/zulu-openjdk/release-notes/april-2021.html#fixed-common-vulnerabilities-and-exposures
- https://kc.mcafee.com/corporate/index?page=content&id=SB10366
- https://lists.debian.org/debian-lts-announce/2021/04/msg00021.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5ACX4JEVYH6H4PSMGMYWTGABPOFPH3TS/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CFXOKM2233JVGYDOWW77BN54X3GZTIBK/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CG7EWXSO6JUCVHP7R3SOZQ7WPNBOISJH/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MAULPCQFLAMBJIS27YLNNX6IHRFJMVP4/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MVDY4T5XMSYDQT6RRKPMRCV4MVGS7KXF/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UD3JEP4HPLK7MNZHVUMKIJPBP74M3A2V/
- https://security.gentoo.org/glsa/202209-05
- https://security.netapp.com/advisory/ntap-20210513-0001/
- https://www.debian.org/security/2021/dsa-4899
- https://www.oracle.com/security-alerts/cpuapr2021.html