10критическая
BDU:2022-04683 (CVE-2021-3918)
Уязвимость приложения для проверки и тестирования JSON-файлов JSON Schema, связанная с недостаточным контролем модификации динамически определённых характеристик объекта, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-07-29
Описание
Уязвимость приложения для проверки и тестирования JSON-файлов JSON Schema связана с недостаточным контролем модификации динамически определённых характеристик объекта при обработке JSON-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)SUSE Linux Enterprise Module for Web Scripting (12)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Enterprise Storage (6)Red Hat Software CollectionsSUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)SUSE Linux Enterprise Server for SAP Applications (12)Red Hat Quay (3)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)OpenSUSE Leap (15.3)Openshift Service Mesh (2)Suse Linux Enterprise Server (12)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)
Способ устранения
Использование рекомендаций:
Для JSON Schema:
https://github.com/kriszyp/json-schema/commit/22f146111f541d9737e832823699ad3528ca7741
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-3918
Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-3918.html
Для Node.js:
https://nodejs.org/en/blog/release/v16.11.0/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-json-schema до версии 0.3.0+~7.0.6-1+deb11u1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи