9.4критическая
BDU:2022-01228 (CVE-2021-27568)
Уязвимость библиотек json-smart-v1 и json-smart-v2, связанная с недостаточной проверкой необычных или исключительных состояний, позволяющая нарушителю вызвать аварийное завершение работы приложения или раскрыть защищаемую информацию
Опубликовано: 2022-03-11
Описание
Уязвимость библиотек json-smart-v1 и json-smart-v2 связана с недостаточной проверкой необычных или исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать аварийное завершение работы приложения или раскрыть защищаемую информацию
Затрагиваемое ПО и версии
WebLogic Server (12.2.1.3.0)Utilities Framework (4.4.0.0.0)WebLogic Server (12.2.1.4.0)PeopleSoft Enterprise PeopleTools (8.58)WebLogic Server (14.1.1.0.0)Utilities Framework (4.4.0.2.0)Utilities Framework (4.4.0.3.0)Spectrum Symphony (7.3.1)Spectrum Symphony (7.3)Spectrum Symphony (7.2.1)json-smart-v1 (до 1.3.2)json-smart-v2 (до 2.3.1)json-smart-v2 (от 2.4 до 2.4.1)Oracle Communications Cloud Native Core Policy (1.14.0)OSS Support Tools (до 2.12.42 включительно)PeopleSoft Enterprise PeopleTools (8.59)IBM Security Access Manager (до 9.0.7.2-ISS-ISAM-IF0003)
Способ устранения
Использование рекомендаций производителя:
Для json-smart-v1 и json-smart-v2:
Обновление программного средства до актуальной версии
Для программных продуктов IBM Corp.:
https://www.ibm.com/blogs/psirt/security-bulletin-multiple-vulnerabilities-in-apache-json-small-and-fast-parser-json-smart-and-underscore-affect-ibm-spectrum-symphony/
https://www.ibm.com/support/pages/node/6502211
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com//security-alerts/cpujul2021.html
Оценка CVSS
| Балл | 9.4 — критическая опасность |
Источники и патчи