10критическая
BDU:2019-03107 (CVE-2018-8088)
Уязвимость компонента org.slf4j.ext.EventData модуля slf4j-ext библиотеки SLF4J, позволяющая нарушителю обойти существующие ограничения безопасности
Опубликовано: 2019-09-05
Описание
Уязвимость компонента org.slf4j.ext.EventData модуля slf4j-ext библиотеки SLF4J связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (Desktop 7)Red Hat Enterprise Linux (Workstation 7)Red Hat Enterprise Linux (Server 7)JBoss Enterprise Application Platform (6 for RHEL 5 Server)JBoss Enterprise Application Platform (6.4)JBoss Enterprise Application Platform (6 for RHEL 6 Server)JBoss Enterprise Application Platform (7.0 for RHEL 6 Server)JBoss Enterprise Application Platform (7.0 for RHEL 6 Server (eap7-jboss-ec2-eap))JBoss Enterprise Application Platform (6.3 for RHEL 7 Server (slf4j-eap6))JBoss Enterprise Application Platform (6.3 for RHEL 7 Server)JBoss Enterprise Application Platform (7.0 for RHEL 6 Server (eap7-slf4j))JBoss Enterprise Application Platform (7.0 for RHEL 7 Server)JBoss Enterprise Application Platform (7.0 for RHEL 7 Server (eap7-jboss-ec2-eap))JBoss Enterprise Application Platform (6 for RHEL 6 Server (slf4j-eap6))JBoss Enterprise Application Platform (6 for RHEL 6 Server (jboss-ec2-eap))JBoss Enterprise Application Platform (7.0 for RHEL 7 Server (eap7-slf4j))JBoss Enterprise Application Platform (6 for RHEL 5 Server (slf4j-eap6))Jboss Operations Network (3.3)Jboss Fuse (7)Jboss BRMS (6.4)Jboss BRMS (7.0)Data Grid (7.2)SLF4J (до 1.7.25 включительно)SLF4J (1.8.0 Alpha1)SLF4J (1.8.0 Alpha2)SLF4J (1.8.0 Beta0)SLF4J (1.8.0 Beta1)SLF4J (1.8.0 Alpha0)JBoss EAP (7.1)BPMS (6.4)
Способ устранения
Использование рекомендаций:
Для программных продуктов QOS.CH SLF4J:
https://jira.qos.ch/browse/SLF4J-430
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-8088
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи