CVE-2025-66033: CWE-401: Okta okta-sdk-java 中有效生命周期后内存释放缺失

严重性: 中等 类型: 漏洞

CVE-2025-66033

Okta Java 管理 SDK 便于与 Okta 管理 API 进行交互。在 21.0.0 至 24.0.0 版本中，特定的多线程实现可能会遇到内存问题，因为请求完成后线程未得到正确清理。随着时间的推移，这可能会降低长时间运行应用程序的性能和可用性，并在持续负载下可能导致拒绝服务状况。除了使用受影响的版本外，如果用户以多线程方式使用 ApiClient 实现长时间运行的应用程序，也可能面临风险。此问题已在 24.0.1 版本中修复。

AI 分析

技术摘要

CVE-2025-66033 标识了 Okta Java 管理 SDK（特别是 21.0.0 至 24.0.0 版本）中的一个内存管理漏洞。根本原因是在多线程环境中，API 请求后线程清理不当，导致内存未释放（CWE-401: 有效生命周期后内存释放缺失）。随着时间的推移，这种内存泄漏会累积，导致应用程序性能下降，并可能在跨多个线程并发使用 ApiClient 的长时间运行应用程序中引发拒绝服务（DoS）状况。该漏洞不影响机密性或完整性，但直接影响可用性。利用需要网络访问和低权限（PR:L），攻击复杂度高（AC:H），且无需用户交互（UI:N）。该漏洞已在 SDK 的 24.0.1 版本中修复。目前尚未发现野外利用报告，但对于依赖与 Okta 服务进行持续、多线程 API 交互的环境而言，风险很高。此漏洞与在基于 Java 的应用程序中使用 Okta 进行身份和访问管理的组织尤其相关，特别是那些具有高并发性和高运行时间要求的组织。

潜在影响

对于欧洲组织而言，主要影响在于通过 Java SDK 在多线程应用程序中集成 Okta 的身份管理系统的可用性和性能。内存泄漏可能导致性能逐渐下降，引发应用程序崩溃或拒绝服务，从而中断身份验证和授权工作流程。这可能影响业务连续性，尤其是在金融、医疗保健和政府等严重依赖 Okta 进行安全访问管理的行业。该漏洞不会暴露敏感数据或允许权限提升，但服务中断可能间接影响操作安全以及符合 GDPR 等要求系统可用性和完整性的法规。运行使用 24.0.1 之前版本 Okta SDK 的长期 Java 应用程序的组织面临风险，特别是那些具有高事务量或持续 API 使用量的组织。

缓解建议

主要的缓解措施是将 Okta Java 管理 SDK 升级到 24.0.1 或更高版本，其中内存泄漏问题已得到解决。组织应审计其在多线程上下文中对 ApiClient 的使用情况，如果升级延迟，应重构代码以确保正确的线程生命周期管理。实施对应用程序内存使用情况和线程数的监控，以检测表明存在泄漏的异常增长。采用自动重启或容器编排策略主动回收受影响的服务。此外，在负载下对长时间运行的应用程序进行彻底测试，以识别潜在的内存耗尽情况。网络分段和限制对 Okta API 端点的访问可以减少暴露面。最后，保持最新的依赖关系管理和漏洞扫描，以检测易受攻击的 SDK 版本的使用情况。

受影响国家 德国、法国、英国、荷兰、瑞典、芬兰、爱尔兰、比利时

技术详情

数据版本: 5.2 分配者简称: GitHub_M 日期保留: 2025-11-21T01:08:02.615Z Cvss 版本: 3.1 状态: 已发布

威胁 ID: 6939ec5a5ab76fdc5f2d8880 添加到数据库: 2025年12月10日，下午9:55:38 最后丰富: 2025年12月10日，下午10:10:53 最后更新: 2025年12月11日，上午10:50:27 浏览量: 11