ГлавнаяБаза уязвимостей БДУ → BDU:2021-05485
7.8высокая

BDU:2021-05485 (CVE-2021-21348)

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-11-17
Описание

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем потребления максимального времени центрального процессора

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Oracle Communications Unified Inventory Management (7.3.2)Oracle Communications Unified Inventory Management (7.3.4)Oracle Communications Unified Inventory Management (7.3.5)Oracle Communications Unified Inventory Management (7.4.0)Red Hat JBoss Fuse (7)Red Hat JBoss Fuse (6)Red Hat Descision Manager (7)openSUSE TumbleweedRed Hat JBoss Data Virtualization (6)Red Hat BPM Suite (6)Ubuntu (20.04 LTS)Ubuntu (20.10)Red Hat JBoss Data Grid (7)OpenSUSE Leap (15.2)Red Hat Process Automation (7)Fedora (33)Ubuntu (21.04)Oracle Business Activity Monitoring (11.1.1.9.0)Oracle Business Activity Monitoring (12.2.1.3.0)Fedora (34)Oracle Banking Platform (2.4.0)Oracle Banking Platform (2.7.1)Oracle Banking Platform (2.9.0)Red Hat Integration Camel KOpenSUSE Leap (15.3)Red Hat Integration Camel QuarkusFedora (35)
Способ устранения

Использование рекомендаций:

Для xstream:
https://x-stream.github.io/CVE-2021-21348.html
https://x-stream.github.io/security.html#workaround

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-21348
https://lists.debian.org/debian-lts-announce/2021/04/msg00002.html

Для Apache:
https://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3e
https://issues.apache.org/jira/browse/AMQ-7426

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-21348
https://ubuntu.com/security/notices/USN-4943-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/

Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-21348

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-21348.html

Для McAfee Inc.:
https://docs.mcafee.com/ru-RU/bundle/web-gateway-8.2.x-release-notes/page/GUID-66AC8C57-9C6E-4785-994A-641F156C0E0B.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://x-stream.github.io/changes.html#1.4.16https://github.com/x-stream/xstream/security/advisories/GHSA-56p8-3fh9-4cvqhttps://x-stream.github.io/CVE-2021-21348.htmlhttps://x-stream.github.io/security.html#workaroundhttps://security-tracker.debian.org/tracker/CVE-2021-21348https://lists.debian.org/debian-lts-announce/2021/04/msg00002.htmlhttps://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3ehttps://issues.apache.org/jira/browse/AMQ-7426
Проверьте безопасность своего сайта и почты → Полная проверка домена