ГлавнаяБаза уязвимостей БДУ → BDU:2021-05501
10критическая

BDU:2021-05501 (CVE-2021-21347)

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать и выполнять произвольный код с удаленного хоста
Опубликовано: 2021-11-17
Описание

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать и выполнять произвольный код с удаленного хоста путем манипулирования обработанным входным потоком данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Oracle Communications Unified Inventory Management (7.3.2)Oracle Communications Unified Inventory Management (7.3.4)Oracle Communications Unified Inventory Management (7.3.5)Oracle Communications Unified Inventory Management (7.4.0)Red Hat JBoss Fuse (7)Red Hat JBoss Fuse (6)Red Hat Descision Manager (7)openSUSE TumbleweedRed Hat JBoss Data Virtualization (6)Red Hat BPM Suite (6)Ubuntu (20.04 LTS)Ubuntu (20.10)Red Hat JBoss Data Grid (7)OpenSUSE Leap (15.2)Red Hat Process Automation (7)Fedora (33)Ubuntu (21.04)Oracle Business Activity Monitoring (11.1.1.9.0)Oracle Business Activity Monitoring (12.2.1.3.0)Fedora (34)Oracle Banking Platform (2.4.0)Oracle Banking Platform (2.7.1)Oracle Banking Platform (2.9.0)Red Hat Integration Camel KOpenSUSE Leap (15.3)Red Hat Integration Camel QuarkusFedora (35)
Способ устранения

Использование рекомендаций:

Для xstream:
https://x-stream.github.io/CVE-2021-21347.html
https://x-stream.github.io/security.html#workaround

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-21347
https://lists.debian.org/debian-lts-announce/2021/04/msg00002.html

Для Apache:
https://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3e
https://issues.apache.org/jira/browse/AMQ-7426

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-21347
https://ubuntu.com/security/notices/USN-4943-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/

Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-21347

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-21347.html

Для McAfee Inc.:
https://docs.mcafee.com/ru-RU/bundle/web-gateway-8.2.x-release-notes/page/GUID-66AC8C57-9C6E-4785-994A-641F156C0E0B.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://x-stream.github.io/changes.html#1.4.16https://github.com/x-stream/xstream/security/advisories/GHSA-qpfq-ph7r-qv6fhttps://x-stream.github.io/CVE-2021-21347.htmlhttps://x-stream.github.io/security.html#workaroundhttps://security-tracker.debian.org/tracker/CVE-2021-21347https://lists.debian.org/debian-lts-announce/2021/04/msg00002.htmlhttps://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3ehttps://issues.apache.org/jira/browse/AMQ-7426
Проверьте безопасность своего сайта и почты → Полная проверка домена