Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation связана с ошибками десериализации и возможностью внедрения кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с root-привилегиями
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
Для XStream:
- использование «белого» списка объектов для десериализуемых данных из недоверенных источников;
- ограничение перечня обрабатываемых типов минимально необходимыми.
Для VMware Cloud Foundation:
- использование средств межсетевого экранирования для ограничения возможности загрузки недоверенных данных.
Использование рекомендаций:
Для XStream:
https://x-stream.github.io/CVE-2021-39144.html
Для программных продуктов VMware Inc.:
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5004
https://security-tracker.debian.org/tracker/CVE-2021-39144
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-39144
| Балл | 7.1 — высокая опасность |