製品・ソフトウェアに関する情報

JVN脆弱性詳細

Oracle Java SE および Oracle GraalVM Enterprise Edition における JSSE に関する脆弱性

タイトル	Oracle Java SE および Oracle GraalVM Enterprise Edition における JSSE に関する脆弱性
概要	Oracle Java SE および Oracle GraalVM Enterprise Edition には、JSSE に関する処理に不備があるため、可用性に影響のある脆弱性が存在します。
想定される影響	リモートの攻撃者により、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年10月19日0:00
登録日	2021年10月28日16:11
最終更新日	2025年12月15日12:25

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

オラクル

JDK 11.0.12

JDK 7 Update 311

JDK 8 Update 301

JRE 11.0.12

JRE 7 Update 311

JRE 8 Update 301

Oracle GraalVM Enterprise Edition 20.3.3

Oracle GraalVM Enterprise Edition 21.2.0

日立

Hitachi Application Server

Hitachi Application Server for Developers

Hitachi Automation Director

Hitachi Compute Systems Manager

Hitachi Configuration Manager

Hitachi Device Manager

Hitachi Dynamic Link Manager

Hitachi Global Link Manager

Hitachi Infrastructure Analytics Advisor (海外販売のみ)

Hitachi Ops Center Administrator (海外販売のみ)

Hitachi Ops Center Analyzer (海外販売のみ)

Hitachi Ops Center Analyzer viewpoint (海外販売のみ)

Hitachi Ops Center API Configuration Manager

Hitachi Ops Center Automator

Hitachi Ops Center Common Services

Hitachi Ops Center Viewpoint (国内販売のみ)

Hitachi Replication Manager

Hitachi Tiered Storage Manager

Hitachi Tuning Manager

uCosminexus Application Server

uCosminexus Application Server(64)

uCosminexus Application Server-R

uCosminexus Client

uCosminexus Developer

uCosminexus Operator for Service Platform

uCosminexus Primary Server Base

uCosminexus Primary Server Base(64)

uCosminexus Service Architect

uCosminexus Service Platform

uCosminexus Service Platform(64)

Fedora Project

Fedora

NetApp

E-Series SANtricity OS Controller Software

E-Series SANtricity Storage Manager

E-Series SANtricity Web Services

OnCommand Insight

SANtricity Unified Manager

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-35565	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35565
National Vulnerability Database (NVD)
2	CVE-2021-35565	https://nvd.nist.gov/vuln/detail/CVE-2021-35565

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	名前	URL
Fedora Update Notification
1	FEDORA-2021-35145352b0	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7WTVCIVHTX3XONYOEGUMLKCM4QEC6INT/
Hitachi Software Vulnerability Information
2	hitachi-sec-2021-142	https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2021-142/index.html
3	hitachi-sec-2021-136	https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2021-136/index.html
NetApp Advisory
4	NTAP-20211022-0004	https://security.netapp.com/advisory/ntap-20211022-0004/
Oracle Critical Patch Update
5	Oracle Critical Patch Update Advisory - October 2021	https://www.oracle.com/security-alerts/cpuoct2021.html
6	Text Form of Oracle Critical Patch Update - October 2021 Risk Matrices	https://www.oracle.com/security-alerts/cpuoct2021verbose.html
ソフトウェア製品セキュリティ情報
7	hitachi-sec-2021-142	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-142/index.html
8	hitachi-sec-2021-136	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-136/index.html

その他

No	名前	URL
IPA 重要なセキュリティ情報
1	Oracle Java の脆弱性対策について(CVE-2021-3517等)	https://www.ipa.go.jp/security/ciadr/vul/20211020-jre.html
JPCERT 注意喚起
2	JPCERT-AT-2021-0046	https://www.jpcert.or.jp/at/2021/at210046.html
JVN
3	JVNVU#99514792	https://jvn.jp/vu/JVNVU99514792/index.html

変更履歴

No	変更内容	変更日
4	[2024年12月17日] 影響を受けるシステム：ベンダ情報 (hitachi-sec-2021-136) の更新に伴い内容を更新	2024年12月17日17:40
3	[2021年11月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2021-142) を追加	2021年11月22日16:15
1	[2021年10月28日] 掲載	2021年10月28日16:11
2	[2021年11月01日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2021-136) を追加	2021年11月1日15:02
5	[2025年12月15日] 参考情報：JVN (JVNVU#99514792) を追加	2025年12月15日11:40

NVD脆弱性情報

CVE-2021-35565

概要	Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: JSSE). Supported versions that are affected are Java SE: 7u311, 8u301, 11.0.12; Oracle GraalVM Enterprise Edition: 20.3.3 and 21.2.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via TLS to compromise Java SE, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized ability to cause a partial denial of service (partial DOS) of Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability can only be exploited by supplying data to APIs in the specified Component without using Untrusted Java Web Start applications or Untrusted Java applets, such as through a web service. CVSS 3.1 Base Score 5.3 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
公表日	2021年10月20日20:16
登録日	2021年10月21日10:00
最終更新日	2024年11月21日15:12

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:oracle:openjdk:11.0.12:::::::*
cpe:2.3:a:oracle:openjdk:8:update301::::::
cpe:2.3:a:oracle:openjdk:7:update311::::::
cpe:2.3:a:oracle:graalvm:20.3.3::::enterprise:::
cpe:2.3:a:oracle:graalvm:21.2.0::::enterprise:::

構成2	以上	以下	より上	未満
cpe:2.3:a:netapp:snapmanager:-:::::oracle::
cpe:2.3:a:netapp:snapmanager:-:::::sap::
cpe:2.3:a:netapp:oncommand_workflow_automation:-:::::::*
cpe:2.3:a:netapp:oncommand_insight:-:::::::*
cpe:2.3:a:netapp:e-series_santricity_storage_manager:-:::::::*
cpe:2.3:a:netapp:e-series_santricity_os_controller::::::::	11.0.0	11.50.2
cpe:2.3:a:netapp:solidfire:-:::::::*
cpe:2.3:a:netapp:hci_management_node:-:::::::*
cpe:2.3:a:netapp:active_iq_unified_manager:-:::::vmware_vsphere::
cpe:2.3:a:netapp:santricity_unified_manager:-:::::::*
cpe:2.3:a:netapp:e-series_santricity_web_services:-:::::web_services_proxy::
cpe:2.3:a:netapp:active_iq_unified_manager:-:::::windows::

構成3	以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:33:::::::*
cpe:2.3:o:fedoraproject:fedora:34:::::::*
cpe:2.3:o:fedoraproject:fedora:35:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:9.0:::::::*
cpe:2.3:o:debian:debian_linux:10.0:::::::*
cpe:2.3:o:debian:debian_linux:11.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://lists.debian.org/debian-lts-announce/2021/11/msg00008.html	Mailing List Third Party Advisory
2	https://lists.debian.org/debian-lts-announce/2021/11/msg00008.html	Mailing List Third Party Advisory
3	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6EUURAQOIJYFZHQ7DFZCO6IKDPIAWTNK/
4	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6EUURAQOIJYFZHQ7DFZCO6IKDPIAWTNK/
5	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7WTVCIVHTX3XONYOEGUMLKCM4QEC6INT/
6	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7WTVCIVHTX3XONYOEGUMLKCM4QEC6INT/
7	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/DJILEHYV2U37HKMGFEQ7CAVOV4DUWW2O/
8	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/DJILEHYV2U37HKMGFEQ7CAVOV4DUWW2O/
9	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GTYZWIXDFUV2H57YQZJWPOD3BC3I3EIQ/
10	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GTYZWIXDFUV2H57YQZJWPOD3BC3I3EIQ/
11	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GXTUWAWXVU37GRNIG4TPMA47THO6VAE6/
12	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GXTUWAWXVU37GRNIG4TPMA47THO6VAE6/
13	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/V362B2BWTH5IJDL45QPQGMBKIQOG7JX5/
14	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/V362B2BWTH5IJDL45QPQGMBKIQOG7JX5/
15	https://security.gentoo.org/glsa/202209-05	Third Party Advisory
16	https://security.gentoo.org/glsa/202209-05	Third Party Advisory
17	https://security.netapp.com/advisory/ntap-20211022-0004/	Third Party Advisory
18	https://security.netapp.com/advisory/ntap-20211022-0004/	Third Party Advisory
19	https://security.netapp.com/advisory/ntap-20240621-0006/
20	https://security.netapp.com/advisory/ntap-20240621-0006/
21	https://www.debian.org/security/2021/dsa-5000	Third Party Advisory
22	https://www.debian.org/security/2021/dsa-5000	Third Party Advisory
23	https://www.oracle.com/security-alerts/cpuoct2021.html	Patch Vendor Advisory
24	https://www.oracle.com/security-alerts/cpuoct2021.html	Patch Vendor Advisory

共通脆弱性一覧

構成2	以上	以下	より上	未満
cpe:2.3:a:netapp:snapmanager:-:::::oracle::
cpe:2.3:a:netapp:snapmanager:-:::::sap::
cpe:2.3:a:netapp:oncommand_workflow_automation:-:::::::*
cpe:2.3:a:netapp:oncommand_insight:-:::::::*
cpe:2.3:a:netapp:e-series_santricity_storage_manager:-:::::::*
cpe:2.3:a:netapp:e-series_santricity_os_controller::::::::	11.0.0	11.50.2
cpe:2.3:a:netapp:solidfire:-:::::::*
cpe:2.3:a:netapp:hci_management_node:-:::::::*
cpe:2.3:a:netapp:active_iq_unified_manager:-:::::vmware_vsphere::
cpe:2.3:a:netapp:santricity_unified_manager:-:::::::*
cpe:2.3:a:netapp:e-series_santricity_web_services:-:::::web_services_proxy::
cpe:2.3:a:netapp:active_iq_unified_manager:-:::::windows::