ГлавнаяБаза уязвимостей БДУ → BDU:2021-03903
9высокая

BDU:2021-03903 (CVE-2021-29505)

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат Xstream, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2021-08-04
Описание

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат Xstream связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Red Hat JBoss Fuse (7)Red Hat Descision Manager (7)CodeReady Studio (12)Data Grid (8)Red Hat Process Automation (7)Red Hat Integration Camel KXStream (до 1.4.17)Red Hat Integration Camel QuarkusОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Xstream:
https://github.com/x-stream/xstream/commit/24fac82191292c6ae25f94508d28b9823f83624f
https://github.com/x-stream/xstream/security/advisories/GHSA-7chv-rrw6-w6fc

Для Debian:
https://lists.debian.org/debian-lts-announce/2021/07/msg00004.html

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-29505

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libxstream-java до версии 1.4.11.1-1+deb9u5

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/x-stream/xstream/commit/24fac82191292c6ae25f94508d28b9823f83624fhttps://github.com/x-stream/xstream/security/advisories/GHSA-7chv-rrw6-w6fchttps://lists.apache.org/thread.html/r8ee51debf7fd184b6a6b020dc31df25118b0aa612885f12fbe77f04f@%3Cdev.jmeter.apache.org%3Ehttps://lists.debian.org/debian-lts-announce/2021/07/msg00004.htmlhttps://security.netapp.com/advisory/ntap-20210708-0007/https://nvd.nist.gov/vuln/detail/CVE-2021-29505https://access.redhat.com/security/cve/cve-2021-29505https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена