ГлавнаяБаза уязвимостей БДУ → BDU:2022-06488
7.1высокая

BDU:2022-06488 (CVE-2021-39144)

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилегиями
Опубликовано: 2022-10-26
Описание

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation связана с ошибками десериализации и возможностью внедрения кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с root-привилегиями

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Jboss Fuse (7)Debian GNU/Linux (10)JBoss A-MQ (6.0)Red Hat BPM Suite (6)Jboss Fuse (6)Communications BRM - Elastic Charging Engine (11.3)Communications BRM - Elastic Charging Engine (12.0)Data Grid (8)Red Hat Process Automation (7)Fedora (33)Fedora (34)Red Hat Integration Camel KRed Hat Integration Camel QuarkusDebian GNU/Linux (11)Fedora (35)Oracle Business Activity Monitoring (12.2.1.4.0)Oracle Retail Xstore Point of Service (16.0.6)Oracle Retail Xstore Point of Service (17.0.4)Oracle Retail Xstore Point of Service (18.0.3)Oracle Retail Xstore Point of Service (19.0.2)Red Hat CodeReady Studio (12)Oracle WebCenter Portal (12.2.1.3.0)Oracle WebCenter Portal (12.2.1.4.0)XStream (до 1.4.18)Communications Cloud Native Core Automated Test Suite (1.9.0)Communications Cloud Native Core Policy (1.14.0)VMware Cloud Foundation (до KB 89809)Decision Manager (7)Commerce Guided Search (11.3.2)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
Для XStream:
- использование «белого» списка объектов для десериализуемых данных из недоверенных источников;
- ограничение перечня обрабатываемых типов минимально необходимыми.

Для VMware Cloud Foundation:
- использование средств межсетевого экранирования для ограничения возможности загрузки недоверенных данных.

Использование рекомендаций:
Для XStream:
https://x-stream.github.io/CVE-2021-39144.html

Для программных продуктов VMware Inc.:
https://www.vmware.com/security/advisories/VMSA-2022-0027.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5004
https://security-tracker.debian.org/tracker/CVE-2021-39144

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-39144

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://x-stream.github.io/CVE-2021-39144.htmlhttps://www.vmware.com/security/advisories/VMSA-2022-0027.htmlhttps://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.htmlhttps://www.debian.org/security/2021/dsa-5004https://security-tracker.debian.org/tracker/CVE-2021-39144https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
Проверьте безопасность своего сайта и почты → Полная проверка домена