10критическая
BDU:2020-02137 (CVE-2019-13990)
Уязвимость функции initDocumentParser библиотеки планирования заданий Terracotta Quartz Scheduler, позволяющая нарушителю осуществить XXE-атаку
Опубликовано: 2020-05-15
Описание
Уязвимость функции initDocumentParser (xml/XMLSchedulingDataProcessor.java) библиотеки планирования заданий Terracotta Quartz Scheduler связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить XXE-атаку
Затрагиваемое ПО и версии
Retail Back Office (14.1)Retail Central Office (14.1)Retail Returns Management (14.1)Retail Point-of-Service (14.1)Fusion Middleware MapViewer (12.2.1.3.0)Primavera Unifier (16.2)Primavera Unifier (16.1)Red Hat Virtualization (4)Oracle Retail Order Broker (15.0)Oracle Retail Order Broker (16.0)Astra Linux Common Edition (2.12 «Орёл»)Jboss Fuse (7)Primavera Unifier (18.8)Red Hat Process Automation Manager (7)Red Hat Descision Manager (7)Primavera Unifier (от 17.7 до 17.12 включительно)SUSE Linux Enterprise Module for SUSE Manager Server (4.0)SUSE Manager Server (3.2)Oracle Retail Order Broker (18.0)Banking Enterprise Product Manufacturing (2.7.0)Banking Enterprise Product Manufacturing (2.8.0)Oracle Banking Enterprise Originations (2.7.0)Oracle Banking Enterprise Originations (2.8.0)Quartz Scheduler (до 2.3.2)Oracle Retail Order Broker (19.0)Enterprise Manager Ops Center (12.4.0.0)Oracle Communications Session Route Manager (от 8.2.0 до 8.2.2 включительно)Enterprise Manager Base Platform (13.2.1.0)Hyperion Infrastructure Technology (11.1.2.4)ОСОН ОСнова Оnyx (до 2.4.2)
Способ устранения
Использование рекомендаций:
Для Quartz Scheduler:
https://github.com/quartz-scheduler/quartz/issues/467
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-13990/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-13990
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для Astra Linux:
Обновление программного обеспечения (пакета libquartz2-java) до 2.3.0-3 или более поздней версии
Для ОСОН Основа:
Обновление программного обеспечения libquartz2-java до версии 2.3.0-3
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи