ГлавнаяБаза уязвимостей БДУ → BDU:2022-04683
10критическая

BDU:2022-04683 (CVE-2021-3918)

Уязвимость приложения для проверки и тестирования JSON-файлов JSON Schema, связанная с недостаточным контролем модификации динамически определённых характеристик объекта, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-07-29
Описание

Уязвимость приложения для проверки и тестирования JSON-файлов JSON Schema связана с недостаточным контролем модификации динамически определённых характеристик объекта при обработке JSON-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)SUSE Linux Enterprise Module for Web Scripting (12)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Enterprise Storage (6)Red Hat Software CollectionsSUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)SUSE Linux Enterprise Server for SAP Applications (12)Red Hat Quay (3)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)OpenSUSE Leap (15.3)Openshift Service Mesh (2)Suse Linux Enterprise Server (12)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)
Способ устранения

Использование рекомендаций:
Для JSON Schema:
https://github.com/kriszyp/json-schema/commit/22f146111f541d9737e832823699ad3528ca7741

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-3918

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-3918.html

Для Node.js:
https://nodejs.org/en/blog/release/v16.11.0/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-json-schema до версии 0.3.0+~7.0.6-1+deb11u1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2021-3918http://json-schema.org/https://www.suse.com/security/cve/CVE-2021-3918.htmlhttps://github.com/kriszyp/json-schema/commit/22f146111f541d9737e832823699ad3528ca7741https://huntr.dev/bounties/bb6ccd63-f505-4e3a-b55f-cd2662c261a9https://nvd.nist.gov/vuln/detail/CVE-2021-3918https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена