ГлавнаяБаза уязвимостей БДУ → BDU:2023-00169
10критическая

BDU:2023-00169 (CVE-2022-36944)

Уязвимость интерпретатора языка программирования Scala, связанная с ошибками при десериализации данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-01-17
Описание

Уязвимость интерпретатора языка программирования Scala связана с ошибками при десериализации данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Fedora (35)Fedora (36)Scala (от 2.13.0 до 2.13.9)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа;
- использование антивирусного программного обеспечения для ограничения возможности загрузки нежелательных файлов.

Использование рекомендаций:
Для Scala:
https://github.com/scala/scala/pull/10118

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZOZVWY3X72FZZCCRAKRJYTQOJ6LUD6Z/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3WMKPFAMFQE3HJVRQ5KOJUTWG264SXI/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-36944

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://discuss.lightbend.com/t/impact-of-cve-2022-36944-on-akka-cluster-akka-actor-akka-remote/10007/2https://github.com/scala/scala-collection-compat/releases/tag/v2.9.0https://github.com/scala/scala/pull/10118https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZOZVWY3X72FZZCCRAKRJYTQOJ6LUD6Z/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3WMKPFAMFQE3HJVRQ5KOJUTWG264SXI/https://www.scala-lang.org/download/https://security-tracker.debian.org/tracker/CVE-2022-36944
Проверьте безопасность своего сайта и почты → Полная проверка домена