ГлавнаяБаза уязвимостей БДУ → BDU:2019-02936
10критическая

BDU:2019-02936 (CVE-2019-10173)

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2019-08-20
Описание

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путем отмены обработки объекта XML или другого поддерживаемого формата

Затрагиваемое ПО и версии
WebLogic Server (10.3.6.0)WebLogic Server (12.1.3.0)Fusion Middleware MapViewer (12.2.1.3.0)Primavera Unifier (16.2)Primavera Unifier (16.1)Oracle Endeca Information Discovery Integrator (3.2.0)WebCenter Portal (11.1.1.9.0)WebCenter Portal (12.2.1.3.0)WebLogic Server (12.2.1.3.0)Oracle Retail Order Broker (15.0)XStream (1.4.10)Oracle Data Integrator (12.2.1.3.0)Utilities Framework (4.4.0.0.0)Utilities Framework (4.2.0.3.0)Utilities Framework (4.2.0.2.0)Primavera Unifier (18.8)Retail Xstore Point of Service (17.0)WebLogic Server (12.2.1.4.0)Oracle Communications Unified Inventory Management (7.3)Oracle Communications Unified Inventory Management (7.4)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Oracle Financial Services Market Risk Measurement and Management (8.0.6)Oracle Endeca Information Discovery Studio (3.2.0)WebCenter Portal (12.2.1.4.0)Oracle Financial Services Asset Liability Management (8.0.7)Financial Services Profitability Management (8.0.6)Financial Services Profitability Management (8.0.7)Financial Services Funds Transfer Pricing (8.0.6)Financial Services Funds Transfer Pricing (8.0.7)
Способ устранения

Использование рекомендаций:
Для XStream:

http://x-stream.github.io/changes.html#1.4.11

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2021.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2019-10173http://x-stream.github.io/changes.html#1.4.11https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10173https://www.cvedetails.com/cve/CVE-2019-10173/https://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpujan2021.html
Проверьте безопасность своего сайта и почты → Полная проверка домена