ГлавнаяБаза уязвимостей БДУ → BDU:2022-04788
7.8высокая

BDU:2022-04788 (CVE-2022-34169)

Уязвимость библиотеки Apache Xalan Java XSLT, связанная с ошибкой приведения целочисленного значения, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-08-04
Описание

Уязвимость библиотеки Apache Xalan Java XSLT связана с ошибкой приведения целочисленного значения при обработке таблиц стилей XSLT. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Red Hat Enterprise Linux (8.2 Extended Update Support)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Альт 8 СПRed Hat build of OpenJDK (11)Red Hat build of OpenJDK (17)Red Hat build of OpenJDK (1.8)Red Hat Enterprise Linux (9)Java SE (7u343)Java SE (8u333)Java SE (11.0.15.1)Java SE (17.0.3.1)Java SE (18.0.1.1)GraalVM Enterprise Edition (22.1.0)GraalVM Enterprise Edition (21.3.2)GraalVM Enterprise Edition (20.3.6)OpenJDK (до 7u341 включительно)OpenJDK (8u332)OpenJDK (11.0.15)OpenJDK (13.0.11)OpenJDK (15.0.7)OpenJDK (17.0.3)OpenJDK (18.0.1)ОСОН ОСнова Оnyx (до 2.6)РОСА Кобальт (7.9)OpenJDK (7u341)Logstash (8.9.0)
Способ устранения

Использование рекомендаций:
Для Apache:
https://github.com/openjdk/jdk/commit/41ef2b249073450172e11163a4d05762364b1297

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2022.html#AppendixJAVA
https://openjdk.org/groups/vulnerability/advisories/2022-07-19

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-34169

Для OpenJDK:
https://openjdk.org/groups/vulnerability/advisories/2022-07-19

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bcel до версии 6.2+repack-1+deb10u1.osnova1

Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2138

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21

Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpujul2022.html#AppendixJAVAhttps://access.redhat.com/security/cve/cve-2022-34169https://bugzilla.redhat.com/show_bug.cgi?id=2108554http://www.openwall.com/lists/oss-security/2022/07/19/5http://www.openwall.com/lists/oss-security/2022/07/19/6http://www.openwall.com/lists/oss-security/2022/07/20/2http://www.openwall.com/lists/oss-security/2022/07/20/3https://lists.apache.org/thread/12pxy4phsry6c34x2ol4fft6xlho4kyw
Проверьте безопасность своего сайта и почты → Полная проверка домена