КиберосноваSGRC
BDU:2023-08650
Высокий

BDU:2023-08650: Уязвимость функции декодирования кадров сетевого программного средства Netty, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v37.5
CVSS v27.8
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2023-08650

Описание

Уязвимость функции декодирования кадров сетевого программного средства Netty связана с неконтролируемым расходом ресурсов Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Что делать с BDU:2023-08650

Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.5Высокий
Пересчитать →
v2
7.8
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:HAV:N/AC:L/Au:N/C:N/I:N/A:C

CWE — тип уязвимости

CWE-400

CVE — международный идентификатор

CVE-2021-37137
CWE-400
Неконтролируемое потребление ресурсов

Программа не ограничивает потребление CPU/RAM/диска. Приводит к отказу в обслуживании (DoS).

Как атакуют и что делать ▾

Сценарий атаки

Атакующий отправляет множество тяжёлых запросов или запрос, вызывающий экспоненциальную обработку (ReDoS, zip bomb).

Последствия

Отказ в обслуживании: сервер перестаёт отвечать легитимным пользователям.

Рекомендации

Ограничивайте rate limit, размер запроса, время обработки. Используйте очереди и таймауты.

Тактики и техники

Исчерпание ресурсов

Уязвимое ПО (73)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияDebian GNU/Linux10Не указана
NetApp Inc.Oncommand Insight-Не указана
Red Hat Inc.JBoss Data Grid7Не указана
Red Hat Inc.Red Hat Single Sign-On7Не указана
Red Hat Inc.Red Hat JBoss Fuse6Не указана
Red Hat Inc.Red Hat OpenStack Platform10.0 (Newton)Не указана
Red Hat Inc.Red Hat OpenStack Platform13.0 (Queens)Не указана
Red Hat Inc.Red Hat JBoss Data Virtualization6Не указана
Red Hat Inc.Red Hat BPM Suite6Не указана
Canonical Ltd.Ubuntu20.04 LTSНе указана
Red Hat Inc.A-MQ Clients2Не указана
Oracle Corp.Oracle Banking Digital Experience19.1Не указана
Oracle Corp.Oracle Banking Digital Experience19.2Не указана
Oracle Corp.Oracle Banking Digital Experience20.1Не указана
Canonical Ltd.Ubuntu16.04 ESMНе указана
Red Hat Inc.Red Hat build of Quarkus-Не указана
Red Hat Inc.Red Hat Integration Camel K-Не указана
Red Hat Inc.Red Hat Integration Service Registry-Не указана
Novell Inc.OpenSUSE Leap15.3Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux11Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux12Не указана
Red Hat Inc.Red Hat JBoss BRMS6Не указана
Red Hat Inc.Red Hat JBoss Fuse Service Works6Не указана
Oracle Corp.Oracle WebCenter Portal12.2.1.3.0Не указана
Oracle Corp.Oracle WebCenter Portal12.2.1.4.0Не указана
Red Hat Inc.OpenShift Logging5.1Не указана
Red Hat Inc.OpenShift Logging5.2Не указана
Red Hat Inc.OpenShift Logging5.3Не указана
Novell Inc.SUSE Manager Server4.2Не указана
Novell Inc.SUSE Manager Server4.1Не указана
Red Hat Inc.Red Hat OpenShift Container Platform3.11Не указана
Red Hat Inc.Red Hat OpenShift Container Platform4Не указана
Oracle Corp.Oracle Banking Digital Experience21.1Не указана
Oracle Corp.Oracle Banking APIsот 18.1 до 18.3 включительноНе указана
Oracle Corp.Oracle Banking APIs19.1Не указана
Oracle Corp.Oracle Banking APIs19.2Не указана
Oracle Corp.Oracle Banking APIs20.1Не указана
Oracle Corp.Oracle Banking APIs21.1Не указана
Canonical Ltd.Ubuntu22.04 LTSНе указана
Novell Inc.SUSE Manager Server4.3Не указана
Red Hat Inc.Decision Manager7Не указана
Oracle Corp.Commerce Guided Search11.3.2Не указана
Oracle Corp.Communications Cloud Native Core Binding Support Function1.10.0Не указана
Canonical Ltd.Ubuntu22.10Не указана
Oracle Corp.Communications Diameter Signaling Routerот 8.0.0.0 до 8.5.0.2 включительноНе указана
АО "НППКТ"ОСОН ОСнова Оnyxдо 2.7Не указана
Canonical Ltd.Ubuntu18.04 ESMНе указана
Novell Inc.SUSE Linux Enterprise Module for Package Hub15 SP5Не указана
Red Hat Inc.Red Hat JBoss Enterprise Application Platform7Не указана
Apache Software Foundationnettyдо 4.1.68Не указана

Показано 50 из 73

Среды функционирования (11)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияDebian GNU/Linux10Не указана
Canonical Ltd.Ubuntu20.04 LTSНе указана
Canonical Ltd.Ubuntu16.04 ESMНе указана
Novell Inc.OpenSUSE Leap15.3Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux11Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux12Не указана
Canonical Ltd.Ubuntu22.04 LTSНе указана
Canonical Ltd.Ubuntu22.10Не указана
АО "НППКТ"ОСОН ОСнова Оnyxдо 2.7Не указана
Canonical Ltd.Ubuntu18.04 ESMНе указана
Novell Inc.SUSE Linux Enterprise Module for Package Hub15 SP5Не указана

Рекомендации по устранению

Использование рекомендаций: Для Ubuntu: https://ubuntu.com/security/notices/USN-6049-1 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-37137 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-37137 Для программных продуктов NetApp Inc.: https://security.netapp.com/advisory/ntap-20220210-0012/ Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-37137.html Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpujul2022.html Для quarkus: Обновление программного обеспечения до версии 2.2.4 и выше Для программных продуктов SonarSource Компенсирующие меры: - использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости; - мониторинг действий пользователей; - запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе. Для ОСОН ОСнова Оnyx: Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u3

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.5

Уточните SLA под вашу среду

Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации2.4%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2021-10-19

Опубликована

2023-12-12

Обновлена

2024-01-11

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2021-37137 MITRE: CWE-400 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-08601
Средний
7.2

Уязвимость контейнера сервлетов Eclipse Jetty, связанная с некорректной зачисткой или освобождением ресурсов, позволяюща

BDU:2024-08650
Средний
5.3

Уязвимость программной платформы Spring Framework, связанная с ошибками освобождения ресурсов, позволяющая нарушителю вы

BDU:2024-02254
Средний
5.3

Уязвимость контейнера сервлетов Eclipse Jetty, связанная с ошибками при обработке параметров длины входных данных, позво

BDU:2023-06981
Средний
6.1

Уязвимость компонента Workbench поисковой системы Oracle Commerce Guided Search, позволяющая нарушителю получить несанкц

BDU:2023-07041
Средний
5.3

Уязвимость сервера приложений Apache Tomcat, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0