ГлавнаяБаза уязвимостей БДУ → BDU:2019-03107
10критическая

BDU:2019-03107 (CVE-2018-8088)

Уязвимость компонента org.slf4j.ext.EventData модуля slf4j-ext библиотеки SLF4J, позволяющая нарушителю обойти существующие ограничения безопасности
Опубликовано: 2019-09-05
Описание

Уязвимость компонента org.slf4j.ext.EventData модуля slf4j-ext библиотеки SLF4J связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (Desktop 7)Red Hat Enterprise Linux (Workstation 7)Red Hat Enterprise Linux (Server 7)JBoss Enterprise Application Platform (6 for RHEL 5 Server)JBoss Enterprise Application Platform (6.4)JBoss Enterprise Application Platform (6 for RHEL 6 Server)JBoss Enterprise Application Platform (7.0 for RHEL 6 Server)JBoss Enterprise Application Platform (7.0 for RHEL 6 Server (eap7-jboss-ec2-eap))JBoss Enterprise Application Platform (6.3 for RHEL 7 Server (slf4j-eap6))JBoss Enterprise Application Platform (6.3 for RHEL 7 Server)JBoss Enterprise Application Platform (7.0 for RHEL 6 Server (eap7-slf4j))JBoss Enterprise Application Platform (7.0 for RHEL 7 Server)JBoss Enterprise Application Platform (7.0 for RHEL 7 Server (eap7-jboss-ec2-eap))JBoss Enterprise Application Platform (6 for RHEL 6 Server (slf4j-eap6))JBoss Enterprise Application Platform (6 for RHEL 6 Server (jboss-ec2-eap))JBoss Enterprise Application Platform (7.0 for RHEL 7 Server (eap7-slf4j))JBoss Enterprise Application Platform (6 for RHEL 5 Server (slf4j-eap6))Jboss Operations Network (3.3)Jboss Fuse (7)Jboss BRMS (6.4)Jboss BRMS (7.0)Data Grid (7.2)SLF4J (до 1.7.25 включительно)SLF4J (1.8.0 Alpha1)SLF4J (1.8.0 Alpha2)SLF4J (1.8.0 Beta0)SLF4J (1.8.0 Beta1)SLF4J (1.8.0 Alpha0)JBoss EAP (7.1)BPMS (6.4)
Способ устранения

Использование рекомендаций:
Для программных продуктов QOS.CH SLF4J:
https://jira.qos.ch/browse/SLF4J-430

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-8088

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.htmlhttps://jira.qos.ch/browse/SLF4J-430https://access.redhat.com/security/cve/cve-2018-8088https://www.cvedetails.com/cve/CVE-2018-8088/https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Проверьте безопасность своего сайта и почты → Полная проверка домена