cvelistv5 - cve-2024-21634

▼	URL	Tags
	security-advisories@github.com	https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6	Vendor Advisory

▼	Vendor	Product
	amazon-ion	ion-java

wid-sec-w-2024-0870

Vulnerability from csaf_certbund

Published

2024-04-16 22:00

Modified

2024-04-22 22:00

Summary

Oracle Communications Applications: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Communications Applications umfasst eine Sammlung von Werkzeugen zur Verwaltung von Messaging-, Kommunikationsdiensten und -ressourcen.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Communications Applications ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.

Betroffene Betriebssysteme

- Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Communications Applications umfasst eine Sammlung von Werkzeugen zur Verwaltung von Messaging-, Kommunikationsdiensten und -ressourcen.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Communications Applications ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0870 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0870.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0870 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0870"
      },
      {
        "category": "external",
        "summary": "Oracle Critical Patch Update Advisory - April 2024 - Appendix Oracle Communications Applications vom 2024-04-16",
        "url": "https://www.oracle.com/security-alerts/cpuapr2024.html#AppendixCAGBU"
      },
      {
        "category": "external",
        "summary": "Red Hat Security Advisory RHSA-2024:1797 vom 2024-04-22",
        "url": "https://access.redhat.com/errata/RHSA-2024:1797"
      }
    ],
    "source_lang": "en-US",
    "title": "Oracle Communications Applications: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-04-22T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:07:40.529+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0870",
      "initial_release_date": "2024-04-16T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-04-16T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        },
        {
          "date": "2024-04-22T22:00:00.000+00:00",
          "number": "2",
          "summary": "Neue Updates von Red Hat aufgenommen"
        }
      ],
      "status": "final",
      "version": "2"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version",
                "name": "7.4.1",
                "product": {
                  "name": "Oracle Communications Applications 7.4.1",
                  "product_id": "T018939",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4.1"
                  }
                }
              },
              {
                "category": "product_version",
                "name": "7.4.2",
                "product": {
                  "name": "Oracle Communications Applications 7.4.2",
                  "product_id": "T018940",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4.2"
                  }
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c=12.0.0.8",
                "product": {
                  "name": "Oracle Communications Applications \u003c=12.0.0.8",
                  "product_id": "T034251"
                }
              },
              {
                "category": "product_version",
                "name": "15.0.0.0",
                "product": {
                  "name": "Oracle Communications Applications 15.0.0.0",
                  "product_id": "T034252",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:15.0.0.0"
                  }
                }
              },
              {
                "category": "product_version",
                "name": "7.3.6.4",
                "product": {
                  "name": "Oracle Communications Applications 7.3.6.4",
                  "product_id": "T034253",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.3.6.4"
                  }
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c=7.4.2",
                "product": {
                  "name": "Oracle Communications Applications \u003c=7.4.2",
                  "product_id": "T034254"
                }
              },
              {
                "category": "product_version",
                "name": "7.5.0",
                "product": {
                  "name": "Oracle Communications Applications 7.5.0",
                  "product_id": "T034255",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.5.0"
                  }
                }
              },
              {
                "category": "product_version",
                "name": "7.5.1",
                "product": {
                  "name": "Oracle Communications Applications 7.5.1",
                  "product_id": "T034256",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.5.1"
                  }
                }
              },
              {
                "category": "product_version",
                "name": "8.0.0.1.0",
                "product": {
                  "name": "Oracle Communications Applications 8.0.0.1.0",
                  "product_id": "T034257",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:8.0.0.1.0"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Communications Applications"
          }
        ],
        "category": "vendor",
        "name": "Oracle"
      },
      {
        "branches": [
          {
            "category": "product_name",
            "name": "Red Hat Enterprise Linux",
            "product": {
              "name": "Red Hat Enterprise Linux",
              "product_id": "67646",
              "product_identification_helper": {
                "cpe": "cpe:/o:redhat:enterprise_linux:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "Red Hat"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2021-37533",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2021-37533"
    },
    {
      "cve": "CVE-2022-34169",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2022-34169"
    },
    {
      "cve": "CVE-2022-34381",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2022-34381"
    },
    {
      "cve": "CVE-2023-0833",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2023-0833"
    },
    {
      "cve": "CVE-2023-2976",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2023-2976"
    },
    {
      "cve": "CVE-2023-34053",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2023-34053"
    },
    {
      "cve": "CVE-2023-34055",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2023-34055"
    },
    {
      "cve": "CVE-2023-4043",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2023-4043"
    },
    {
      "cve": "CVE-2023-44487",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2023-44487"
    },
    {
      "cve": "CVE-2023-47100",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2023-47100"
    },
    {
      "cve": "CVE-2023-6378",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2023-6378"
    },
    {
      "cve": "CVE-2024-21634",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2024-21634"
    },
    {
      "cve": "CVE-2024-26308",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T018940",
          "67646",
          "T034253",
          "T034252",
          "T018939",
          "T034257",
          "T034256",
          "T034255"
        ],
        "last_affected": [
          "T034251",
          "T034254"
        ]
      },
      "release_date": "2024-04-16T22:00:00.000+00:00",
      "title": "CVE-2024-26308"
    }
  ]
}

wid-sec-w-2024-0663

Vulnerability from csaf_certbund

Published

2024-03-19 23:00

Modified

2024-04-21 22:00

Summary

Atlassian Bamboo und Bitbucket: Schwachstelle ermöglicht Denial of Service

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Bamboo ist ein Werkzeug zur kontinuierlichen Integration und Bereitstellung, das automatisierte Builds, Tests und Freigaben in einem einzigen Arbeitsablauf verbindet. Bitbucket ist ein Git-Server zur Sourcecode-Versionskontrolle.

Angriff

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Atlassian Bamboo und Atlassian Bitbucket ausnutzen, um einen Denial of Service Angriff durchzuführen.

Betroffene Betriebssysteme

- Linux - UNIX - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Bamboo ist ein Werkzeug zur kontinuierlichen Integration und Bereitstellung, das automatisierte Builds, Tests und Freigaben in einem einzigen Arbeitsablauf verbindet.\r\nBitbucket ist ein Git-Server zur Sourcecode-Versionskontrolle.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Atlassian Bamboo und Atlassian Bitbucket ausnutzen, um einen Denial of Service Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- UNIX\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0663 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0663.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0663 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0663"
      },
      {
        "category": "external",
        "summary": "Atlassian Security Advisory vom 2024-03-19",
        "url": "https://jira.atlassian.com/browse/BAM-25717"
      },
      {
        "category": "external",
        "summary": "Atlassian Security Advisory vom 2024-03-19",
        "url": "https://jira.atlassian.com/browse/BSERV-19291"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin 7147553 vom 2024-04-08",
        "url": "https://www.ibm.com/support/pages/node/7147553"
      },
      {
        "category": "external",
        "summary": "Atlassian Security Bulletin",
        "url": "https://confluence.atlassian.com/security/security-bulletin-april-16-2024-1387857429.html"
      },
      {
        "category": "external",
        "summary": "Atlassian Security Bulletin",
        "url": "https://confluence.atlassian.com/security/security-bulletin-april-16-2024-1387857429.html"
      }
    ],
    "source_lang": "en-US",
    "title": "Atlassian Bamboo und Bitbucket: Schwachstelle erm\u00f6glicht Denial of Service",
    "tracking": {
      "current_release_date": "2024-04-21T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:06:37.099+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0663",
      "initial_release_date": "2024-03-19T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-03-19T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        },
        {
          "date": "2024-04-07T22:00:00.000+00:00",
          "number": "2",
          "summary": "Neue Updates von IBM aufgenommen"
        },
        {
          "date": "2024-04-16T22:00:00.000+00:00",
          "number": "3",
          "summary": "Neue Updates aufgenommen"
        },
        {
          "date": "2024-04-21T22:00:00.000+00:00",
          "number": "4",
          "summary": "Doppelte Eintragung korrigiert"
        }
      ],
      "status": "final",
      "version": "4"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 9.5.2",
                "product": {
                  "name": "Atlassian Bamboo \u003cData Center and Server 9.5.2",
                  "product_id": "T033554"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 9.4.4",
                "product": {
                  "name": "Atlassian Bamboo \u003cData Center and Server 9.4.4",
                  "product_id": "T033555"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 9.2.12",
                "product": {
                  "name": "Atlassian Bamboo \u003cData Center and Server 9.2.12",
                  "product_id": "T033556"
                }
              }
            ],
            "category": "product_name",
            "name": "Bamboo"
          },
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server  8.9.10",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server  8.9.10",
                  "product_id": "T033557"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 8.13.6",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server 8.13.6",
                  "product_id": "T033558"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 7.21.22",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server 7.21.22",
                  "product_id": "T033560"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 8.14.5",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server 8.14.5",
                  "product_id": "T033562"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 8.15.4",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server 8.15.4",
                  "product_id": "T033565"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 8.16.3",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server 8.16.3",
                  "product_id": "T033567"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 8.19.0",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server 8.19.0",
                  "product_id": "T033568"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 8.17.2",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server 8.17.2",
                  "product_id": "T033569"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003cData Center and Server 8.18.1",
                "product": {
                  "name": "Atlassian Bitbucket \u003cData Center and Server 8.18.1",
                  "product_id": "T033570"
                }
              }
            ],
            "category": "product_name",
            "name": "Bitbucket"
          },
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c8.8.0",
                "product": {
                  "name": "Atlassian Confluence \u003c8.8.0",
                  "product_id": "T033011"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c8.9.0",
                "product": {
                  "name": "Atlassian Confluence \u003c8.9.0",
                  "product_id": "T034233"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c8.7.1-8.7.2",
                "product": {
                  "name": "Atlassian Confluence \u003c8.7.1-8.7.2",
                  "product_id": "T034234"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c8.5.7 to 8.5.8 (LTS)",
                "product": {
                  "name": "Atlassian Confluence \u003c8.5.7 to 8.5.8 (LTS)",
                  "product_id": "T034235"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c7.19.20-7.19.21 (LTS)",
                "product": {
                  "name": "Atlassian Confluence \u003c7.19.20-7.19.21 (LTS)",
                  "product_id": "T034236"
                }
              }
            ],
            "category": "product_name",
            "name": "Confluence"
          },
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c9.15.0",
                "product": {
                  "name": "Atlassian Jira Software \u003c9.15.0",
                  "product_id": "T034238"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c9.12.6-9.12.7 (LTS)",
                "product": {
                  "name": "Atlassian Jira Software \u003c9.12.6-9.12.7 (LTS)",
                  "product_id": "T034239"
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c9.4.18-9.4.20 (LTS)",
                "product": {
                  "name": "Atlassian Jira Software \u003c9.4.18-9.4.20 (LTS)",
                  "product_id": "T034240"
                }
              }
            ],
            "category": "product_name",
            "name": "Jira Software"
          }
        ],
        "category": "vendor",
        "name": "Atlassian"
      },
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version",
                "name": "7.6.1",
                "product": {
                  "name": "IBM Maximo Asset Management 7.6.1",
                  "product_id": "389168",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:ibm:maximo_asset_management:7.6.1"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Maximo Asset Management"
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-21634",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in Atlassian Bamboo und Atlassian Bitbucket. Diese bestehen aufgrund einer Abh\u00e4ngigkeit von der Komponente \"software.amazon.ion:ion-java\" bzw. auf einem Fehler in dieser. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T034239",
          "T034238",
          "T034236",
          "389168",
          "T034240",
          "T034235",
          "T034234",
          "T033011",
          "T034233"
        ]
      },
      "release_date": "2024-03-19T23:00:00.000+00:00",
      "title": "CVE-2024-21634"
    }
  ]
}

ghsa-264p-99wq-f4j6

Vulnerability from github

Published

2024-01-03 22:04

Modified

2024-04-12 17:08

Severity ?

7.5 (High) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Summary

Ion Java StackOverflow vulnerability

Details

Impact

A potential denial-of-service issue exists in ion-java for applications that use ion-java to:

Deserialize Ion text encoded data, or
Deserialize Ion text or binary encoded data into the IonValue model and then invoke certain IonValue methods on that in-memory representation.

An actor could craft Ion data that, when loaded by the affected application and/or processed using the IonValue model, results in a StackOverflowError originating from the ion-java library.

Impacted versions: <1.10.5

Patches

The patch is included in ion-java >= 1.10.5.

Workarounds

Do not load data which originated from an untrusted source or that could have been tampered with. Only load data you trust.

If you have any questions or comments about this advisory, we ask that you contact AWS/Amazon Security via our vulnerability reporting page [1] or directly via email to aws-security@amazon.com. Please do not create a public GitHub issue.

[1] https://aws.amazon.com/security/vulnerability-reporting

Show details on source website

JSON

To clipboard

{
  "affected": [
    {
      "package": {
        "ecosystem": "Maven",
        "name": "com.amazon.ion:ion-java"
      },
      "ranges": [
        {
          "events": [
            {
              "introduced": "0"
            },
            {
              "fixed": "1.10.5"
            }
          ],
          "type": "ECOSYSTEM"
        }
      ]
    },
    {
      "database_specific": {
        "last_known_affected_version_range": "\u003c 1.10.5"
      },
      "package": {
        "ecosystem": "Maven",
        "name": "software.amazon.ion:ion-java"
      },
      "ranges": [
        {
          "events": [
            {
              "introduced": "0"
            }
          ],
          "type": "ECOSYSTEM"
        }
      ]
    }
  ],
  "aliases": [
    "CVE-2024-21634"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-770"
    ],
    "github_reviewed": true,
    "github_reviewed_at": "2024-01-03T22:04:08Z",
    "nvd_published_at": "2024-01-03T23:15:08Z",
    "severity": "HIGH"
  },
  "details": "### Impact\n\nA potential denial-of-service issue exists in\u00a0`ion-java`\u00a0for applications that use\u00a0`ion-java`\u00a0to:\n\n* Deserialize Ion text encoded data, or\n* Deserialize Ion text or binary encoded data into the\u00a0`IonValue`\u00a0model and then invoke certain\u00a0`IonValue`\u00a0methods on that in-memory representation.\n\nAn actor could craft Ion data that, when loaded by the affected application and/or processed using the\u00a0`IonValue`\u00a0model, results in a\u00a0`StackOverflowError`\u00a0originating from the\u00a0`ion-java`\u00a0library.\n\nImpacted versions: \u003c1.10.5\n\n### Patches\n\nThe patch is included in `ion-java` \u003e= 1.10.5.\n\n### Workarounds\n\nDo not load data which originated from an untrusted source or that could have been tampered with. **Only load data you trust.**\n\n----\n\nIf you have any questions or comments about this advisory, we ask that you contact AWS/Amazon Security via our vulnerability reporting page [1] or directly via email to [aws-security@amazon.com](mailto:aws-security@amazon.com). Please do not create a public GitHub issue.\n\n[1] https://aws.amazon.com/security/vulnerability-reporting",
  "id": "GHSA-264p-99wq-f4j6",
  "modified": "2024-04-12T17:08:03Z",
  "published": "2024-01-03T22:04:08Z",
  "references": [
    {
      "type": "WEB",
      "url": "https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6"
    },
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-21634"
    },
    {
      "type": "PACKAGE",
      "url": "https://github.com/amazon-ion/ion-java"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
      "type": "CVSS_V3"
    }
  ],
  "summary": "Ion Java StackOverflow vulnerability"
}

gsd-2024-21634

Vulnerability from gsd

Modified

2023-12-29 06:02

Details

Amazon Ion is a Java implementation of the Ion data notation. Prior to version 1.10.5, a potential denial-of-service issue exists in `ion-java` for applications that use `ion-java` to deserialize Ion text encoded data, or deserialize Ion text or binary encoded data into the `IonValue` model and then invoke certain `IonValue` methods on that in-memory representation. An actor could craft Ion data that, when loaded by the affected application and/or processed using the `IonValue` model, results in a `StackOverflowError` originating from the `ion-java` library. The patch is included in `ion-java` 1.10.5. As a workaround, do not load data which originated from an untrusted source or that could have been tampered with.

Aliases

CVE-2024-21634

JSON

To clipboard

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-21634"
      ],
      "details": "Amazon Ion is a Java implementation of the Ion data notation. Prior to version 1.10.5, a potential denial-of-service issue exists in\u00a0`ion-java`\u00a0for applications that use\u00a0`ion-java`\u00a0to deserialize Ion text encoded data, or deserialize Ion text or binary encoded data into the\u00a0`IonValue`\u00a0model and then invoke certain\u00a0`IonValue`\u00a0methods on that in-memory representation. An actor could craft Ion data that, when loaded by the affected application and/or processed using the\u00a0`IonValue`\u00a0model, results in a\u00a0`StackOverflowError`\u00a0originating from the\u00a0`ion-java`\u00a0library. The patch is included in `ion-java` 1.10.5. As a workaround, do not load data which originated from an untrusted source or that could have been tampered with.",
      "id": "GSD-2024-21634",
      "modified": "2023-12-29T06:02:05.071401Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "security-advisories@github.com",
        "ID": "CVE-2024-21634",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "ion-java",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "\u003c 1.10.5"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "amazon-ion"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "Amazon Ion is a Java implementation of the Ion data notation. Prior to version 1.10.5, a potential denial-of-service issue exists in\u00a0`ion-java`\u00a0for applications that use\u00a0`ion-java`\u00a0to deserialize Ion text encoded data, or deserialize Ion text or binary encoded data into the\u00a0`IonValue`\u00a0model and then invoke certain\u00a0`IonValue`\u00a0methods on that in-memory representation. An actor could craft Ion data that, when loaded by the affected application and/or processed using the\u00a0`IonValue`\u00a0model, results in a\u00a0`StackOverflowError`\u00a0originating from the\u00a0`ion-java`\u00a0library. The patch is included in `ion-java` 1.10.5. As a workaround, do not load data which originated from an untrusted source or that could have been tampered with."
          }
        ]
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 7.5,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "NONE",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-770",
                "lang": "eng",
                "value": "CWE-770: Allocation of Resources Without Limits or Throttling"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6",
            "refsource": "MISC",
            "url": "https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6"
          }
        ]
      },
      "source": {
        "advisory": "GHSA-264p-99wq-f4j6",
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:amazon:ion:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "E214A294-EEE9-4B1B-89E8-8B2B1C619B1A",
                    "versionEndExcluding": "1.10.5",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ]
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "Amazon Ion is a Java implementation of the Ion data notation. Prior to version 1.10.5, a potential denial-of-service issue exists in\u00a0`ion-java`\u00a0for applications that use\u00a0`ion-java`\u00a0to deserialize Ion text encoded data, or deserialize Ion text or binary encoded data into the\u00a0`IonValue`\u00a0model and then invoke certain\u00a0`IonValue`\u00a0methods on that in-memory representation. An actor could craft Ion data that, when loaded by the affected application and/or processed using the\u00a0`IonValue`\u00a0model, results in a\u00a0`StackOverflowError`\u00a0originating from the\u00a0`ion-java`\u00a0library. The patch is included in `ion-java` 1.10.5. As a workaround, do not load data which originated from an untrusted source or that could have been tampered with."
          },
          {
            "lang": "es",
            "value": "Amazon Ion es una implementaci\u00f3n Java de la notaci\u00f3n de datos de Ion. Antes de la versi\u00f3n 1.10.5, existe un posible problema de denegaci\u00f3n de servicio en `ion-java` para aplicaciones que usan `ion-java` para deserializar datos codificados de texto Ion, o deserializar texto Ion o datos codificados binarios en `IonValue `modelo y luego invocar ciertos m\u00e9todos `IonValue` en esa representaci\u00f3n en memoria. Un actor podr\u00eda crear datos de Ion que, cuando los carga la aplicaci\u00f3n afectada y/o los procesa usando el modelo \"IonValue\", dan como resultado un \"StackOverflowError\" que se origina en la librer\u00eda \"ion-java\". El parche est\u00e1 incluido en `ion-java` 1.10.5. Como workaround, no cargue datos que se hayan originado en una fuente que no sea de confianza o que puedan haber sido manipulados."
          }
        ],
        "id": "CVE-2024-21634",
        "lastModified": "2024-01-10T16:38:20.853",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "HIGH",
                "baseScore": 7.5,
                "baseSeverity": "HIGH",
                "confidentialityImpact": "NONE",
                "integrityImpact": "NONE",
                "privilegesRequired": "NONE",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.6,
              "source": "nvd@nist.gov",
              "type": "Primary"
            },
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "HIGH",
                "baseScore": 7.5,
                "baseSeverity": "HIGH",
                "confidentialityImpact": "NONE",
                "integrityImpact": "NONE",
                "privilegesRequired": "NONE",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.6,
              "source": "security-advisories@github.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-01-03T23:15:08.943",
        "references": [
          {
            "source": "security-advisories@github.com",
            "tags": [
              "Vendor Advisory"
            ],
            "url": "https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6"
          }
        ],
        "sourceIdentifier": "security-advisories@github.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-770"
              }
            ],
            "source": "security-advisories@github.com",
            "type": "Primary"
          }
        ]
      }
    }
  }
}

Action not permitted

cve-2024-21634

Vulnerability from cvelistv5

wid-sec-w-2024-0870

Vulnerability from csaf_certbund

wid-sec-w-2024-0663

Vulnerability from csaf_certbund

ghsa-264p-99wq-f4j6

Vulnerability from github

Impact

Patches

Workarounds

gsd-2024-21634

Vulnerability from gsd

Tags