7.8высокая
BDU:2021-01018 (CVE-2019-17566)
Уязвимость библиотеки для работы с SVG-изображениями Apache Batik, связанная с некорректной обработкой данных в атрибутах «xlink: href», позволяющая нарушителю осуществлять CSRF-атаки
Опубликовано: 2021-03-02
Описание
Уязвимость библиотеки для работы с SVG-изображениями Apache Batik связана с некорректной обработкой данных в атрибутах «xlink: href». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять CSRF-атаки с помощью специально сформированных запросов GET
Затрагиваемое ПО и версии
API Gateway (11.1.2.4.0)Enterprise Repository (11.1.1.7.0)SUSE Linux Enterprise Software Development Kit (12 SP4)Oracle Retail Order Broker (15.0)Oracle Retail Order Broker (16.0)Instantis EnterpriseTrack (17.1)Instantis EnterpriseTrack (17.2)Instantis EnterpriseTrack (17.3)Red Hat JBoss Fuse (7)OpenSUSE Leap (15.1)SUSE Linux Enterprise Software Development Kit (12 SP5)Hospitality Opera 5 (5.5)Red Hat Descision Manager (7)Communications MetaSolv Solution (6.3.0)Financial Services Analytical Applications Infrastructure (от 8.0.6 до 8.1.0 включительно)Fusion Middleware MapViewer (12.2.1.4.0)Red Hat Process Automation (7)Retail Integration Bus (15.0.3)Communications Application Session Controller (3.9m0p2)Communications MetaSolv Solution (6.3.1)Batik (до 1.13)Hospitality Opera 5 (5.6)JD Edwards EnterpriseOne Tools (до 9.2.4.0)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения
Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/rab94fe68b180d2e2fba97abf6fe1ec83cff826be25f86cd90f047171@%3Ccommit.myfaces.apache.org%3E
https://lists.apache.org/thread.html/rcab14a9ec91aa4c151e0729966282920423eff50a22759fd21db6509@%3Ccommit.myfaces.apache.org%3E
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2021.htm
lhttps://www.oracle.com/security-alerts/cpuapr2021.html
Для программных продуктов Red Hat.:
https://access.redhat.com/security/cve/cve-2019-17566
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-17566/
Для ОС ОН «Стрелец»:
Обновление программного обеспечения batik до версии 1.8-4+deb9u2
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи