NVD脆弱性詳細

CVE-2021-30129

概要	A vulnerability in sshd-core of Apache Mina SSHD allows an attacker to overflow the server causing an OutOfMemory error. This issue affects the SFTP and port forwarding features of Apache Mina SSHD version 2.0.0 and later versions. It was addressed in Apache Mina SSHD 2.7.0
公表日	2021年7月12日21:15
登録日	2021年7月13日10:00
最終更新日	2024年11月21日15:03

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:sshd::::::::		2.0.0			2.7.0

構成2	以上	以下	より上	未満
cpe:2.3:a:oracle:retail_customer_management_and_segmentation_foundation:18.0:::::::*
cpe:2.3:a:oracle:flexcube_universal_banking::::::::	14.0.0	14.3.0
cpe:2.3:a:oracle:retail_customer_management_and_segmentation_foundation:19.0:::::::*
cpe:2.3:a:oracle:middleware_common_libraries_and_tools:12.2.1.4.0:::::::*
cpe:2.3:a:oracle:communications_cloud_native_core_console:1.9.0:::::::*
cpe:2.3:a:oracle:banking_payments:14.5:::::::*
cpe:2.3:a:oracle:banking_trade_finance:14.5:::::::*
cpe:2.3:a:oracle:banking_treasury_management:14.5:::::::*
cpe:2.3:a:oracle:oss_support_tools:2.12.42:::::::*
cpe:2.3:a:oracle:flexcube_universal_banking:14.5:::::::*
cpe:2.3:a:oracle:middleware_common_libraries_and_tools:14.1.1.0.0:::::::*
cpe:2.3:a:oracle:middleware_common_libraries_and_tools:12.2.1.3.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://www.openwall.com/lists/oss-security/2021/07/12/1	Mailing List Third Party Advisory
2	http://www.openwall.com/lists/oss-security/2021/07/12/1	Mailing List Third Party Advisory
3	https://lists.apache.org/thread.html/r6d4f78e192a0c8eabd671a018da464024642980ecd24096bde6db36f%40%3Cusers.mina.apache.org%3E	Mailing List Vendor Advisory
4	https://lists.apache.org/thread.html/r6d4f78e192a0c8eabd671a018da464024642980ecd24096bde6db36f%40%3Cusers.mina.apache.org%3E	Mailing List Vendor Advisory
5	https://lists.apache.org/thread.html/r6d4f78e192a0c8eabd671a018da464024642980ecd24096bde6db36f%40%3Cusers.mina.apache.org%3E	Mailing List Vendor Advisory
6	https://lists.apache.org/thread.html/r6d4f78e192a0c8eabd671a018da464024642980ecd24096bde6db36f%40%3Cusers.mina.apache.org%3E	Mailing List Vendor Advisory
7	https://lists.apache.org/thread.html/red01829efa2a8c893c4baff4f23c9312bd938543a9b8658e172b853b%40%3Cannounce.apache.org%3E
8	https://lists.apache.org/thread.html/red01829efa2a8c893c4baff4f23c9312bd938543a9b8658e172b853b%40%3Cannounce.apache.org%3E
9	https://www.oracle.com/security-alerts/cpuapr2022.html	Patch Third Party Advisory
10	https://www.oracle.com/security-alerts/cpuapr2022.html	Patch Third Party Advisory
11	https://www.oracle.com/security-alerts/cpujul2022.html
12	https://www.oracle.com/security-alerts/cpujul2022.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-772	有効なライフタイム後のリソースの解放の欠如	https://cwe.mitre.org/data/definitions/772.html

JVN脆弱性情報

Apache Mina SSHD における有効なライフタイム後のリソースの解放の欠如に関する脆弱性

タイトル	Apache Mina SSHD における有効なライフタイム後のリソースの解放の欠如に関する脆弱性
概要	Apache Mina SSHD には、有効なライフタイム後のリソースの解放の欠如に関する脆弱性が存在します。
想定される影響	サービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年7月12日0:00
登録日	2022年5月17日15:16
最終更新日	2022年5月17日15:16

影響を受けるシステム

Apache Software Foundation

SSHD 2.0.0 から 2.7.0 未満

オラクル

Oracle Banking Payments

Oracle Banking Trade Finance

Oracle Banking Treasury Management

Oracle Communications Cloud Native Core Console

Oracle FLEXCUBE Universal Banking

Oracle Middleware Common Libraries And Tools

Oracle Retail Customer Management and Segmentation Foundation

OSS Support Tools

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-30129	https://www.cve.org/CVERecord?id=CVE-2021-30129
National Vulnerability Database (NVD)
2	CVE-2021-30129	https://nvd.nist.gov/vuln/detail/CVE-2021-30129
Pony Mail
3	CVE-2021-30129: DoS/OOM leak vulnerability in Apache Mina SSHD Server	https://lists.apache.org/thread/7xdn4w56x9zsfx7qxk2rk5w0rclcmvwg
関連文書
4	CVE-2021-30129: DoS/OOM leak vulnerability in Apache Mina SSHD Server	https://www.openwall.com/lists/oss-security/2021/07/12/1

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-772	https://cwe.mitre.org/data/definitions/772.html

ベンダー情報

No	名前	URL
Oracle Critical Patch Update
1	Oracle Critical Patch Update Advisory - April 2022	https://www.oracle.com/security-alerts/cpuapr2022.html

変更履歴

No	変更内容	変更日
1	[2022年05月17日] 掲載	2022年5月17日15:16

構成2	以上	以下	より上	未満
cpe:2.3:a:oracle:retail_customer_management_and_segmentation_foundation:18.0:::::::*
cpe:2.3:a:oracle:flexcube_universal_banking::::::::	14.0.0	14.3.0
cpe:2.3:a:oracle:retail_customer_management_and_segmentation_foundation:19.0:::::::*
cpe:2.3:a:oracle:middleware_common_libraries_and_tools:12.2.1.4.0:::::::*
cpe:2.3:a:oracle:communications_cloud_native_core_console:1.9.0:::::::*
cpe:2.3:a:oracle:banking_payments:14.5:::::::*
cpe:2.3:a:oracle:banking_trade_finance:14.5:::::::*
cpe:2.3:a:oracle:banking_treasury_management:14.5:::::::*
cpe:2.3:a:oracle:oss_support_tools:2.12.42:::::::*
cpe:2.3:a:oracle:flexcube_universal_banking:14.5:::::::*
cpe:2.3:a:oracle:middleware_common_libraries_and_tools:14.1.1.0.0:::::::*
cpe:2.3:a:oracle:middleware_common_libraries_and_tools:12.2.1.3.0:::::::*