7.5критическая
BDU:2018-00935 (CVE-2018-1275)
Уязвимость модуля spring-messaging программной платформы Spring Framework, позволяющая нарушителю получить полный контроль над приложением
Опубликовано: 2018-08-03
Описание
Уязвимость модуля spring-messaging программной платформы Spring Framework вызвана ошибками обработки сообщений STOMP. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью специально сформированного сообщения
Затрагиваемое ПО и версии
WebLogic Server (10.3.6.0)WebLogic Server (12.1.3.0)Enterprise Manager Ops Center (12.2.2)Enterprise Manager Ops Center (12.3.3)Application Testing Suite (10.1)Financial Services Analytical Applications Infrastructure (от 8.0.0)Financial Services Behavior Detection Platform (от 8.0.0)Enterprise Repository (11.1.1.7.0)Enterprise Repository (12.1.3.0.0)Insurance Policy Administration (10.0)Insurance Policy Administration (10.1)Insurance Policy Administration (10.2)Insurance Policy Administration (11.0)PeopleSoft Enterprise FIN Install (9.2)Retail Back Office (14.0)Retail Back Office (14.1)Retail Central Office (14.0)Retail Central Office (14.1)Retail Returns Management (14.0)Retail Returns Management (14.1)Retail Point-of-Service (14.0)Retail Point-of-Service (14.1)WebLogic Server (12.2.1.2)WebLogic Server (12.2.1.3)Spring Framework (от 4.3.0 до 4.3.16)Spring Framework (от 5.0 до 5.0.5)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения
Использование рекомендаций:
https://pivotal.io/security/cve-2018-1275
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libspring-java до версии 4.3.5-1+deb9u1
Оценка CVSS
| Балл | 7.5 — критическая опасность |
Источники и патчи