13911 2023-10-18 20:29:21 +0300 [CVE 21] okio 1.14.0 CVEs found 2023-11-07 16:00:35 +0300 1 1 2 ROSA-based products ROSA Fresh System (kernel, glibc, systemd, bash, PAM...) All All Linux RESOLVED WONTFIX CVE-2023-3635, Highest critical --- 1 y.tumanov bugs a.proklov e.kosachev s.matveev v.potapov y.tumanov 2021.1 oldest_to_newest 69799 0 y.tumanov 2023-10-18 20:29:21 +0300 Please patch CVEs for package okio version 1.14.0 INFO (CVEs are): okio 1.14.0 cves found CVE-2023-3635 Desc: GzipSource does not handle an exception that might be raised when parsing a malformed gzip buffer. This may lead to denial of service of the Okio client when handling a crafted GZIP archive, by using the GzipSource class. Link: https://nvd.nist.gov/vuln/detail/CVE-2023-3635 Severity: HIGH 70301 1 v.potapov 2023-10-20 18:00:58 +0300 *** Bug 13779 has been marked as a duplicate of this bug. *** 70303 2 v.potapov 2023-10-20 18:01:12 +0300 *** Bug 13561 has been marked as a duplicate of this bug. *** 70785 3 a.proklov 2023-11-07 11:09:21 +0300 java, не закрыть 70788 4 y.tumanov 2023-11-07 11:12:30 +0300 Будем ждать вариантов решения, например: - повышение версии пакета; - удаление пакета 70802 5 a.proklov 2023-11-07 12:57:53 +0300 оба варианта нереальны в наших условиях, и уже не раз повторялось про java на совещениях и в чатах, я не буду повторяться. 70805 6 y.tumanov 2023-11-07 13:08:00 +0300 (In reply to Aleksandr Proklov from comment #5) > оба варианта нереальны в наших условиях, и уже не раз повторялось про java > на совещениях и в чатах, я не буду повторяться. Тогда подумаю, как пометить, чтобы было что сказать, если спросят 70818 7 y.tumanov 2023-11-07 16:00:35 +0300 secteam_verified