Oracle PeopleSoft Enterprise PeopleTools 8.57/8.58/8.59 Netty Information Disclosure

In Oracle PeopleSoft Enterprise PeopleTools 8.57/8.58/8.59 (Enterprise Resource Planning Software) wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Das betrifft ein unbekannter Codeblock der Komponente Netty. Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat folglich sofort reagiert.

Zeitverlauf

Benutzer

125
018

Feld

advisory_confirm_url1
source_cve_nvd_summary1
source_cve_assigned1
exploit_price_0day1
vulnerability_cvss3_meta_tempscore1

Commit Conf

90%30
50%10
70%3

Approve Conf

90%30
80%10
70%3
IDÜbermitteltBenutzerFeldÄnderungBemerkungAkzeptiertErklärungC
1146867925.07.2021VulD...confirm_urlhttps://github.com/netty/netty/security/advisories/GHSA-5mcr-gq6c-3hq2cve.mitre.org25.07.2021akzeptiert
70
1146867825.07.2021VulD...cve_nvd_summaryNetty is an open-source, asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In Netty before version 4.1.59.Final there is a vulnerability on Unix-like systems involving an insecure temp file. When netty's multipart decoders are used local information disclosure can occur via the local system temporary directory if temporary storing uploads on the disk is enabled. On unix-like systems, the temporary directory is shared between all user. As such, writing to this directory using APIs that do not explicitly set the file/directory permissions can lead to information disclosure. Of note, this does not impact modern MacOS Operating Systems. The method "File.createTempFile" on unix-like systems creates a random file, but, by default will create this file with the permissions "-rw-r--r--". Thus, if sensitive information is written to this file, other local users can read this information. This is the case in netty's "AbstractDiskHttpData" is vulnerable. This has been fixed in version 4.1.59.Final. As a workaround, one may specify your own "java.io.tmpdir" when you start the JVM or use "DefaultHttpDataFactory.setBaseDir(...)" to set the directory to something that is only readable by the current user.cve.mitre.org25.07.2021akzeptiert
70
1146867725.07.2021VulD...cve_assigned1608591600 (22.12.2020)cve.mitre.org25.07.2021akzeptiert
70
1144838321.07.2021VulD...price_0day$0-$5ksee exploit price documentation21.07.2021akzeptiert
90
1144838221.07.2021VulD...cvss3_meta_tempscore5.3see CVSS documentation21.07.2021akzeptiert
90
1144838121.07.2021VulD...cvss3_meta_basescore5.5see CVSS documentation21.07.2021akzeptiert
90
1144838021.07.2021VulD...cvss3_vuldb_tempscore5.3see CVSS documentation21.07.2021akzeptiert
90
1144837921.07.2021VulD...cvss3_vuldb_basescore5.5see CVSS documentation21.07.2021akzeptiert
90
1144837821.07.2021VulD...cvss2_vuldb_tempscore4.0see CVSS documentation21.07.2021akzeptiert
90
1144837721.07.2021VulD...cvss2_vuldb_basescore4.6see CVSS documentation21.07.2021akzeptiert
90
1144837621.07.2021VulD...cvss3_vuldb_eXderived from historical data21.07.2021akzeptiert
80
1144837521.07.2021VulD...cvss2_vuldb_eNDderived from historical data21.07.2021akzeptiert
80
1144837421.07.2021VulD...cvss2_vuldb_auSderived from historical data21.07.2021akzeptiert
80
1144837321.07.2021VulD...cvss2_vuldb_rlOFderived from vuldb v3 vector21.07.2021akzeptiert
80
1144837221.07.2021VulD...cvss2_vuldb_rcCderived from vuldb v3 vector21.07.2021akzeptiert
80
1144837121.07.2021VulD...cvss2_vuldb_aiNderived from vuldb v3 vector21.07.2021akzeptiert
80
1144837021.07.2021VulD...cvss2_vuldb_iiNderived from vuldb v3 vector21.07.2021akzeptiert
80
1144836921.07.2021VulD...cvss2_vuldb_ciCderived from vuldb v3 vector21.07.2021akzeptiert
80
1144836821.07.2021VulD...cvss2_vuldb_acLderived from vuldb v3 vector21.07.2021akzeptiert
80
1144836721.07.2021VulD...cvss2_vuldb_avLderived from vuldb v3 vector21.07.2021akzeptiert
80

23 weitere Einträge werden nicht mehr angezeigt

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!