ГлавнаяБаза уязвимостей БДУ → BDU:2021-02625
7.8высокая

BDU:2021-02625

Уязвимость синтаксического анализатора SnakeYAML, связанная с ошибками при обработке XML-сущностей, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-05-24
Описание

Уязвимость синтаксического анализатора SnakeYAML связана с ошибками при обработке XML-сущностей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)Fedora (31)Fedora (32)PeopleSoft Enterprise PeopleTools (8.58)SnakeYAML (до 1.26)Quarkus (до 1.3.4 включительно)Gradle (8.14.3)
Способ устранения

Использование рекомендаций:
Для SnakeYAML:
https://bitbucket.org/asomov/snakeyaml/issues/377/allow-configuration-for-preventing-billion

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2021.html

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKN7VGIKTYBCAKYBRG55QHXAY5UDZ7HA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PTVJC54XGX26UJVVYCXZ7D25X3R5T2G6/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bitbucket.org/asomov/snakeyaml/issues/377/allow-configuration-for-preventing-billionhttps://www.oracle.com/security-alerts/cpuapr2021.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKN7VGIKTYBCAKYBRG55QHXAY5UDZ7HA/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PTVJC54XGX26UJVVYCXZ7D25X3R5T2G6/
Проверьте безопасность своего сайта и почты → Полная проверка домена