Timesten In-memory Database
Уязвимости
28
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.8904
Распределение по критичности
Критический
4
Высокий
12
Средний
12
Низкий
0
Затронутые диапазоны версий
< 11.2.2.8.27< 18.1.2.1.0< 18.1.3.1.0< 18.1.4.1.0< 21.1.1.1.0≤ 18.1.4.1.0
Также сопоставлено как (исходные строки): goldengate_application_adapters,real_user_experience_insight,security_service,application_testing_suite,enterprise_manager_ops_center,retail_predictive_application_server,core_rdbms,primavera_gateway,communications_analytics,communications_ip_service_activator,jd_edwards_enterpriseone_tools,timesten_in-memory_database
Топ уязвимостей
CVE-2010-0873Неуказанная уязвимость в компоненте Data Server в Oracle TimesTen In-Memory Database 7.0.6.0 позволяет удаленным злоумышленникам воздействовать на конфиденциальность, целостность и доступность через неизвестные векторы.
CVE-2019-11835cJSON до версии 1.7.11 допускает доступ за пределы границ, связанный с многострочными комментариями.
CVE-2019-11834cJSON до версии 1.7.11 допускает доступ за пределы границ, связанный с \x00 в строковом литерале.
CVE-2018-11058RSA BSAFE Micro Edition Suite, версии до 4.0.11 (в 4.0.x) и до 4.1.6 (в 4.1.x), и RSA BSAFE Crypto-C Micro Edition, версия до 4.0.5.3 (в 4.0.x), содержат уязвимость Buffer Over-Read при разборе данных ASN.1. Удаленный злоумышленник может использовать злонамеренно сконструированные данные ASN.1, которые приведут к такой проблеме.
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2021-41772Go до 1.16.10 и 1.17.x до 1.17.3 допускает panic archive/zip Reader.Open через созданный ZIP-архив, содержащий недопустимое имя или пустое поле имени файла.
CVE-2021-2351Уязвимость в компоненте Advanced Networking Option сервера Oracle Database. Поддерживаемые версии, подверженные уязвимости: 12.1.0.2, 12.2.0.1 и 19c. Трудно эксплуатируемая уязвимость позволяет не аутентифицированному злоумышленнику с сетевым доступом через Oracle Net скомпрометировать Advanced Networking Option. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и хотя уязвимость находится в Advanced Networking Option, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки с использованием этой уязвимости могут привести к захвату Advanced Networking Option. Примечание: июльское обновление Critical Patch Update 2021 года вносит ряд изменений в Native Network Encryption для устранения уязвимости CVE-2021-2351 и предотвращения использования более слабых шифров. Клиентам следует ознакомиться с документом "Changes in Native Network Encryption with the July 2021 Critical Patch Update" (Doc ID 2791571.1). Базовая оценка CVSS 3.1 составляет 8.3 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2019-1010239DaveGamble/cJSON cJSON 1.7.8 подвержен уязвимости: неправильная проверка необычных или исключительных условий. Воздействие: Нулевая ссылка, поэтому атака может вызвать отказ в обслуживании. Компонент: функция cJSON_GetObjectItemCaseSensitive(). Вектор атаки: специально созданный файл json. Исправленная версия: 1.7.9 и более поздние.
CVE-2019-0201Проблема присутствует в Apache ZooKeeper 1.0.0 - 3.4.13 и 3.5.0-alpha - 3.5.4-beta. Команда ZooKeeper getACL() не проверяет какие-либо разрешения при извлечении ACL запрошенного узла и возвращает всю информацию, содержащуюся в поле ACL Id, в виде строки в открытом виде. DigestAuthenticationProvider перегружает поле Id хэш-значением, которое используется для аутентификации пользователя. Как следствие, если используется дайджест-аутентификация, значение хеша без соли будет раскрыто запросом getACL() для неаутентифицированных или непривилегированных пользователей.
CVE-2018-15769RSA BSAFE Micro Edition Suite версии до 4.0.11 (в серии 4.0.x) и версии до 4.1.6.2 (в серии 4.1.x) содержат ошибку управления ключами. Злонамеренный TLS-сервер потенциально может вызвать отказ в обслуживании (DoS) на TLS-клиентах во время подтверждения соединения, когда TLS-клиенту отправляется очень большое простое значение и используется набор шифров Ephemeral или Anonymous Diffie-Hellman (DHE или ADH).
CVE-2018-11054RSA BSAFE Micro Edition Suite, версия 4.1.6, содержит уязвимость переполнения целого числа. Удаленный злоумышленник может использовать злонамеренно сконструированные данные ASN.1, чтобы потенциально вызвать отказ в обслуживании.
CVE-2016-8610Обнаружена уязвимость отказа в обслуживании в OpenSSL 0.9.8, 1.0.1, 1.0.2 до 1.0.2h и 1.1.0 в способе, которым протокол TLS/SSL определял обработку пакетов ALERT во время подтверждения соединения. Удаленный злоумышленник может использовать этот недостаток, чтобы заставить TLS/SSL-сервер потреблять чрезмерное количество ресурсов ЦП и не принимать соединения от других клиентов.
CVE-2016-2381Perl может позволить зависящим от контекста злоумышленникам обходить механизм защиты от загрязнения в дочернем процессе через повторяющиеся переменные среды в envp.
CVE-2008-5440Неуказанная уязвимость в компоненте TimesTen Data Server в Oracle Database 7.0.5.0.0 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы. ПРИМЕЧАНИЕ: предыдущая информация была получена из январского CPU 2009 года. Oracle не комментировала надежные заявления исследователей о том, что это уязвимость форматной строки через параметр msg в CGI-модуле evtdump.
CVE-2021-29923Go до версии 1.17 неправильно учитывает посторонние нули в начале октета IP-адреса, что (в некоторых ситуациях) позволяет злоумышленникам обходить контроль доступа, основанный на IP-адресах, из-за неожиданной восьмеричной интерпретации. Это влияет на net.ParseIP и net.ParseCIDR.
CVE-2020-7712Это затрагивает пакет json до версии 10.0.0. Можно внедрить произвольные команды, используя функцию parseLookup.
CVE-2021-34558Пакет crypto/tls Go версий до 1.16.5 неправильно утверждает, что тип открытого ключа в сертификате X.509 соответствует ожидаемому типу при выполнении обмена ключами на основе RSA, что позволяет вредоносному TLS-серверу вызвать панику TLS-клиента.
CVE-2019-10219Обнаружена уязвимость в Hibernate-Validator. Аннотация валидатора SafeHtml не выполняет должную очистку полезных нагрузок, состоящих из потенциально вредоносного кода в HTML-комментариях и инструкциях. Эта уязвимость может привести к XSS-атаке.
CVE-2018-11056RSA BSAFE Micro Edition Suite, до 4.1.6.1 (в 4.1.x), и RSA BSAFE Crypto-C Micro Edition версии до 4.0.5.3 (в 4.0.x) содержат уязвимость Uncontrolled Resource Consumption ('Resource Exhaustion') при разборе данных ASN.1. Удаленный злоумышленник может использовать злонамеренно сконструированные данные ASN.1, которые исчерпают стек, что может привести к отказу в обслуживании.
CVE-2020-1945Apache Ant с 1.1 по 1.9.14 и с 1.10.0 по 1.10.7 использует временный каталог по умолчанию, идентифицированный системным свойством Java java.io.tmpdir для нескольких задач и, таким образом, может раскрывать конфиденциальную информацию. Задачи fixcrlf и replaceregexp также копируют файлы из временного каталога обратно в дерево сборки, что позволяет злоумышленнику внедрять измененные исходные файлы в процесс сборки.
CVE-2020-11979В качестве меры по смягчению последствий CVE-2020-1945 Apache Ant 1.10.8 изменил разрешения для создаваемых временных файлов, чтобы доступ к ним был разрешен только текущему пользователю. К сожалению, задача fixcrlf удаляла временный файл и создавала новый без указанной защиты, фактически сводя на нет усилия. Это все равно позволило бы злоумышленнику внедрять измененные исходные файлы в процесс сборки.
CVE-2021-36221Go до 1.15.15 и 1.16.x до 1.16.7 имеет состояние гонки, которое может привести к панике net/http/httputil ReverseProxy при прерывании ErrAbortHandler.
CVE-2018-11057RSA BSAFE Micro Edition Suite, версии до 4.0.11 (в 4.0.x) и до 4.1.6.1 (в 4.1.x), содержит уязвимость Covert Timing Channel во время расшифровки RSA, также известную как атака Bleichenbacher на расшифровку RSA. Удаленный злоумышленник может восстановить ключ RSA.
CVE-2021-36374При чтении специально созданного ZIP-архива или производных форматов сборка Apache Ant может выделять большие объемы памяти, что приводит к ошибке нехватки памяти даже для небольших входных данных. Это можно использовать для нарушения сборок с использованием Apache Ant. Обычно используемые производные форматы из ZIP-архивов - это, например, JAR-файлы и многие офисные файлы. Apache Ant до версий 1.9.16 и 1.10.11 были затронуты.
CVE-2021-36373При чтении специально созданного TAR-архива сборка Apache Ant может выделять большие объемы памяти, что в конечном итоге приводит к ошибке нехватки памяти даже для небольших входных данных. Это можно использовать для нарушения сборок с использованием Apache Ant. Apache Ant до версий 1.9.16 и 1.10.11 были затронуты.