ГлавнаяБаза уязвимостей БДУ → BDU:2021-06161
9.4критическая

BDU:2021-06161 (CVE-2021-21342)

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с недостатками механизма десериализации, позволяющая нарушителю получить доступ к защищаемой информации и подменить объекты на стороне сервера
Опубликовано: 2021-12-17
Описание

Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации и подменить объекты на стороне сервера путем манипулирования обработанным входным потоком данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Oracle Communications Unified Inventory Management (7.3.2)Oracle Communications Unified Inventory Management (7.3.4)Oracle Communications Unified Inventory Management (7.3.5)Oracle Communications Unified Inventory Management (7.4.0)Red Hat JBoss Fuse (7)Red Hat JBoss Fuse (6)Red Hat Descision Manager (7)openSUSE TumbleweedRed Hat JBoss Data Virtualization (6)Red Hat BPM Suite (6)Ubuntu (20.04 LTS)Ubuntu (20.10)Red Hat JBoss Data Grid (7)OpenSUSE Leap (15.2)Red Hat Process Automation (7)Fedora (33)Ubuntu (21.04)Oracle Business Activity Monitoring (11.1.1.9.0)Oracle Business Activity Monitoring (12.2.1.3.0)Fedora (34)Oracle Banking Platform (2.4.0)Oracle Banking Platform (2.7.1)Oracle Banking Platform (2.9.0)Red Hat Integration Camel KOpenSUSE Leap (15.3)Red Hat Integration Camel QuarkusFedora (35)
Способ устранения

Использование рекомендаций:

Для xstream:
https://x-stream.github.io/security.html#workaround
http://x-stream.github.io/CVE-2021-21342.html
https://issues.apache.org/jira/browse/AMQ-8197

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/04/msg00002.html

Для Apache:
https://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3e
https://issues.apache.org/jira/browse/AMQ-7426

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-21342
https://ubuntu.com/security/notices/USN-4943-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/

Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-21342

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-21342.html

Для McAfee Inc.:
https://docs.mcafee.com/ru-RU/bundle/web-gateway-8.2.x-release-notes/page/GUID-66AC8C57-9C6E-4785-994A-641F156C0E0B.html

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
http://x-stream.github.io/changes.html#1.4.16https://x-stream.github.io/CVE-2021-21342.htmlhttps://github.com/x-stream/xstream/security/advisories/GHSA-hvv8-336g-rx3mhttps://x-stream.github.io/security.html#workaroundhttps://issues.apache.org/jira/browse/AMQ-8197https://lists.debian.org/debian-lts-announce/2021/04/msg00002.htmlhttps://lists.apache.org/thread/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd@%3cusers.activemq.apache.org%3ehttps://issues.apache.org/jira/browse/AMQ-7426
Проверьте безопасность своего сайта и почты → Полная проверка домена