ГлавнаяБаза уязвимостей БДУ → BDU:2021-01018
7.8высокая

BDU:2021-01018 (CVE-2019-17566)

Уязвимость библиотеки для работы с SVG-изображениями Apache Batik, связанная с некорректной обработкой данных в атрибутах «xlink: href», позволяющая нарушителю осуществлять CSRF-атаки
Опубликовано: 2021-03-02
Описание

Уязвимость библиотеки для работы с SVG-изображениями Apache Batik связана с некорректной обработкой данных в атрибутах «xlink: href». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять CSRF-атаки с помощью специально сформированных запросов GET

Затрагиваемое ПО и версии
API Gateway (11.1.2.4.0)Enterprise Repository (11.1.1.7.0)SUSE Linux Enterprise Software Development Kit (12 SP4)Oracle Retail Order Broker (15.0)Oracle Retail Order Broker (16.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Red Hat JBoss Fuse (7)OpenSUSE Leap (15.1)SUSE Linux Enterprise Software Development Kit (12 SP5)Hospitality Opera 5 (5.5)Red Hat Descision Manager (7)Communications MetaSolv Solution (6.3.0)Financial Services Analytical Applications Infrastructure (от 8.0.6 до 8.1.0 включительно)Fusion Middleware MapViewer (12.2.1.4.0)Red Hat Process Automation (7)Retail Integration Bus (15.0.3)Communications Application Session Controller (3.9m0p2)Communications MetaSolv Solution (6.3.1)Batik (до 1.13)Hospitality Opera 5 (5.6)JD Edwards EnterpriseOne Tools (до 9.2.4.0)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/rab94fe68b180d2e2fba97abf6fe1ec83cff826be25f86cd90f047171@%3Ccommit.myfaces.apache.org%3E
https://lists.apache.org/thread.html/rcab14a9ec91aa4c151e0729966282920423eff50a22759fd21db6509@%3Ccommit.myfaces.apache.org%3E

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2021.htm
lhttps://www.oracle.com/security-alerts/cpuapr2021.html

Для программных продуктов Red Hat.:
https://access.redhat.com/security/cve/cve-2019-17566

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-17566/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения batik до версии 1.8-4+deb9u2

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.apache.org/thread.html/rab94fe68b180d2e2fba97abf6fe1ec83cff826be25f86cd90f047171@%3Ccommit.myfaces.apache.org%3Ehttps://lists.apache.org/thread.html/rcab14a9ec91aa4c151e0729966282920423eff50a22759fd21db6509@%3Ccommit.myfaces.apache.org%3Ehttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://access.redhat.com/security/cve/cve-2019-17566https://www.suse.com/security/cve/CVE-2019-17566/https://www.oracle.com/security-alerts/cpuapr2021.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена