ГлавнаяБаза уязвимостей БДУ → BDU:2022-02190
10критическая

BDU:2022-02190 (CVE-2016-1000027)

Уязвимость реализации метода readRemoteInvocation обработчика HTTP-запросов на основе Servlet-API HttpInvokerServiceExporter программной платформы Spring Framework, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-04-13
Описание

Уязвимость реализации метода readRemoteInvocation обработчика HTTP-запросов на основе Servlet-API HttpInvokerServiceExporter программной платформы Spring Framework связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально созданных запросов

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Debian GNU/Linux (11)IBM Cloud Object Storage Systems (до 3.16.3.47 включительно)Spring Framework (4.1.4)NiFi Registry (1.24.0)Программный комплекс информационной системы «Формирование ПД» (до RU.53305691.00007-03)
Способ устранения

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Использование рекомендаций:
Для Spring Framework:
https://github.com/spring-projects/spring-framework/issues/24434

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2016-1000027

Для продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-expat-spring-framework-and-apache-http-server-affect-ibm-cloud-object-storage-systems-feb-2022-v2/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-1000027https://github.com/spring-projects/spring-framework/issues/24434#issuecomment-579669626https://github.com/spring-projects/spring-framework/issues/24434#issuecomment-582313417https://security-tracker.debian.org/tracker/CVE-2016-1000027https://www.tenable.com/security/research/tra-2016-20https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-expat-spring-framework-and-apache-http-server-affect-ibm-cloud-object-storage-systems-feb-2022-v2/https://nvd.nist.gov/vuln/detail/CVE-2016-1000027
Проверьте безопасность своего сайта и почты → Полная проверка домена