7.6высокая
BDU:2020-00626 (CVE-2018-8039)
Уязвимость компонента com.sun.net.ssl каркаса для веб-сервисов Apache CXF, позволяющая нарушителю реализовать атаку типа «человек посередине»
Опубликовано: 2020-02-17
Описание
Уязвимость компонента com.sun.net.ssl каркаса для веб-сервисов Apache CXF связана с недостатками в обработке исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»
Затрагиваемое ПО и версии
Red Hat Virtualization (4)Oracle Retail Order Broker (5.2)Oracle Retail Order Broker (15.0)Enterprise Manager Base Platform (13.2.0.0.0)Enterprise Manager Base Platform (13.3.0.0.0)Enterprise Manager Base Platform (12.1.0.5.0)Oracle FLEXCUBE Private Banking (12.0.1.0)Oracle FLEXCUBE Private Banking (12.0.3.0)Oracle FLEXCUBE Private Banking (12.1.0.0)Red Hat JBoss Fuse (7)Communications Diameter Signaling Router (8.0)Communications Diameter Signaling Router (8.1)Communications Diameter Signaling Router (8.2)CXF (до 3.1.16)CXF (от 3.2.0 до 3.2.5)JBoss Enterprise Application Platform (7.1.0)Red Hat JBoss Fuse (6.3)Red Hat Single Sign-On (7.2)Red Hat JBoss EAP (7.1)SAP Enterprise Architecture Designer (1.0)Oracle Communications Session Report Manager (8.0.0)Oracle Communications Session Report Manager (8.1.0)Oracle Communications Session Report Manager (8.1.1)Oracle Communications Session Report Manager (8.2.0)Oracle Communications Session Route Manager (8.0.0)Oracle Communications Session Route Manager (8.1.0)Oracle Communications Session Route Manager (8.1.1)
Способ устранения
Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
http://cxf.apache.org/security-advisories.data/CVE-2018-8039.txt.asc?version=1&modificationDate=1530184663000&api=v2
https://github.com/apache/cxf/commit/fae6fabf9bd7647f5e9cb68897a7d72b545b741b
Для программных продуктов Apache Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-8039
https://bugzilla.redhat.com/show_bug.cgi?id=1595332
Для Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
Для программных продуктов SAP SE:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=510922943
Оценка CVSS
| Балл | 7.6 — высокая опасность |
Источники и патчи