ГлавнаяБаза уязвимостей БДУ → BDU:2020-00626
7.6высокая

BDU:2020-00626 (CVE-2018-8039)

Уязвимость компонента com.sun.net.ssl каркаса для веб-сервисов Apache CXF, позволяющая нарушителю реализовать атаку типа «человек посередине»
Опубликовано: 2020-02-17
Описание

Уязвимость компонента com.sun.net.ssl каркаса для веб-сервисов Apache CXF связана с недостатками в обработке исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»

Затрагиваемое ПО и версии
Red Hat Virtualization (4)Oracle Retail Order Broker (5.2)Oracle Retail Order Broker (15.0)Enterprise Manager Base Platform (13.2.0.0.0)Enterprise Manager Base Platform (13.3.0.0.0)Enterprise Manager Base Platform (12.1.0.5.0)Oracle FLEXCUBE Private Banking (12.0.1.0)Oracle FLEXCUBE Private Banking (12.0.3.0)Oracle FLEXCUBE Private Banking (12.1.0.0)Red Hat JBoss Fuse (7)Communications Diameter Signaling Router (8.0)Communications Diameter Signaling Router (8.1)Communications Diameter Signaling Router (8.2)CXF (до 3.1.16)CXF (от 3.2.0 до 3.2.5)JBoss Enterprise Application Platform (7.1.0)Red Hat JBoss Fuse (6.3)Red Hat Single Sign-On (7.2)Red Hat JBoss EAP (7.1)SAP Enterprise Architecture Designer (1.0)Oracle Communications Session Report Manager (8.0.0)Oracle Communications Session Report Manager (8.1.0)Oracle Communications Session Report Manager (8.1.1)Oracle Communications Session Report Manager (8.2.0)Oracle Communications Session Route Manager (8.0.0)Oracle Communications Session Route Manager (8.1.0)Oracle Communications Session Route Manager (8.1.1)
Способ устранения

Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
http://cxf.apache.org/security-advisories.data/CVE-2018-8039.txt.asc?version=1&modificationDate=1530184663000&api=v2
https://github.com/apache/cxf/commit/fae6fabf9bd7647f5e9cb68897a7d72b545b741b

Для программных продуктов Apache Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-8039
https://bugzilla.redhat.com/show_bug.cgi?id=1595332

Для Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

Для программных продуктов SAP SE:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=510922943

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=510922943https://nvd.nist.gov/vuln/detail/CVE-2018-8039http://cxf.apache.org/security-advisories.data/CVE-2018-8039.txt.asc?version=1&modificationDate=1530184663000&api=v2https://github.com/apache/cxf/commit/fae6fabf9bd7647f5e9cb68897a7d72b545b741bhttps://lists.apache.org/thread.html/1f8ff31df204ad0374ab26ad333169e0387a5e7ec92422f337431866@%3Cdev.cxf.apache.org%3Ehttps://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84a2b96470a0187315c@%3Ccommits.cxf.apache.org%3Ehttps://access.redhat.com/security/cve/cve-2018-8039https://bugzilla.redhat.com/show_bug.cgi?id=1595332
Проверьте безопасность своего сайта и почты → Полная проверка домена