ГлавнаяБаза уязвимостей БДУ → BDU:2021-05506
10критическая

BDU:2021-05506 (CVE-2021-21350)

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-11-17
Описание

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем манипулирования обработанным входным потоком данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Oracle Communications Unified Inventory Management (7.3.2)Oracle Communications Unified Inventory Management (7.3.4)Oracle Communications Unified Inventory Management (7.3.5)Oracle Communications Unified Inventory Management (7.4.0)Red Hat JBoss Fuse (7)Debian GNU/Linux (10)Red Hat JBoss Fuse (6)Red Hat Descision Manager (7)openSUSE TumbleweedRed Hat JBoss Data Virtualization (6)Red Hat BPM Suite (6)Ubuntu (20.04 LTS)Ubuntu (20.10)Red Hat JBoss Data Grid (7)OpenSUSE Leap (15.2)Red Hat Process Automation (7)Fedora (33)Ubuntu (21.04)Oracle Business Activity Monitoring (11.1.1.9.0)Oracle Business Activity Monitoring (12.2.1.3.0)Fedora (34)Oracle Banking Platform (2.4.0)Oracle Banking Platform (2.7.1)Oracle Banking Platform (2.9.0)Red Hat Integration Camel KOpenSUSE Leap (15.3)Red Hat Integration Camel Quarkus
Способ устранения

Использование рекомендаций:

Для xstream:
https://x-stream.github.io/CVE-2021-21350.html
https://x-stream.github.io/security.html#workaround

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-21350
https://lists.debian.org/debian-lts-announce/2021/04/msg00002.html

Для Apache:
https://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3e
https://issues.apache.org/jira/browse/AMQ-7426

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-21350
https://ubuntu.com/security/notices/USN-4943-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/

Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.htmll

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-21350

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-21350.html

Для McAfee Inc.:
https://docs.mcafee.com/ru-RU/bundle/web-gateway-8.2.x-release-notes/page/GUID-66AC8C57-9C6E-4785-994A-641F156C0E0B.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://x-stream.github.io/changes.html#1.4.16https://github.com/x-stream/xstream/security/advisories/GHSA-43gc-mjxg-gvrqhttps://x-stream.github.io/CVE-2021-21350.htmlhttps://x-stream.github.io/security.html#workaroundhttps://security-tracker.debian.org/tracker/CVE-2021-21350https://lists.debian.org/debian-lts-announce/2021/04/msg00002.htmlhttps://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3ehttps://issues.apache.org/jira/browse/AMQ-7426
Проверьте безопасность своего сайта и почты → Полная проверка домена