ГлавнаяБаза уязвимостей БДУ → BDU:2021-05946
9критическая

BDU:2021-05946 (CVE-2021-21345)

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнять команды на хосте
Опубликовано: 2021-12-09
Описание

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять команды на хосте путем манипулирования обработанным входным потоком данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Oracle Communications Unified Inventory Management (7.3.2)Oracle Communications Unified Inventory Management (7.3.4)Oracle Communications Unified Inventory Management (7.3.5)Oracle Communications Unified Inventory Management (7.4.0)Red Hat JBoss Fuse (7)Red Hat JBoss Fuse (6)Red Hat Descision Manager (7)openSUSE TumbleweedOracle Endeca Information Discovery Studio (3.2.0)Red Hat JBoss Data Virtualization (6)Red Hat BPM Suite (6)Ubuntu (20.04 LTS)Ubuntu (20.10)Red Hat JBoss Data Grid (7)OpenSUSE Leap (15.2)Red Hat Process Automation (7)Fedora (33)Ubuntu (21.04)Oracle Banking Credit Facilities Process Management (14.3.0)Oracle Banking Corporate Lending Process Management (14.3.0)Oracle Business Activity Monitoring (11.1.1.9.0)Oracle Business Activity Monitoring (12.2.1.3.0)Fedora (34)Oracle Banking Platform (2.4.0)Oracle Banking Platform (2.9.0)Red Hat Integration Camel KOpenSUSE Leap (15.3)
Способ устранения

Использование рекомендаций:

Для xstream:
https://x-stream.github.io/security.html#workaround
https://x-stream.github.io/CVE-2021-21345.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-21345
https://lists.debian.org/debian-lts-announce/2021/04/msg00002.html

Для Apache:
https://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3e
https://issues.apache.org/jira/browse/AMQ-7426

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-21344
https://ubuntu.com/security/notices/USN-4943-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/

Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-21345

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-21345.html

Для McAfee Inc.:
https://docs.mcafee.com/ru-RU/bundle/web-gateway-8.2.x-release-notes/page/GUID-66AC8C57-9C6E-4785-994A-641F156C0E0B.html

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
http://x-stream.github.io/changes.html#1.4.16https://github.com/x-stream/xstream/security/advisories/GHSA-hwpc-8xqv-jvj4https://x-stream.github.io/security.html#workaroundhttps://x-stream.github.io/CVE-2021-21345.htmlhttps://security-tracker.debian.org/tracker/CVE-2021-21345https://lists.debian.org/debian-lts-announce/2021/04/msg00002.htmlhttps://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3ehttps://issues.apache.org/jira/browse/AMQ-7426
Проверьте безопасность своего сайта и почты → Полная проверка домена