ГлавнаяБаза уязвимостей БДУ → BDU:2023-05608
6.8средняя

BDU:2023-05608

Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML, связанная с переполнением буфера на стеке, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-14
Описание

Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Jboss Fuse (7)Debian GNU/Linux (10)OpenShift Application RuntimesRed Hat Single Sign-On (7)Red Hat AMQ Broker (7)A-MQ Clients (2)Data Grid (8)Red Hat Integration Camel KRed Hat Integration Camel QuarkusDebian GNU/Linux (11)OpenShift Developer Tools and ServicesRed Hat Integration Camel for Spring BootОСОН ОСнова Оnyx (до 2.6)Red Hat Single Sign-On (7.6)Red Hat JBoss A-MQ StreamsCassandra (4.1.3)SnakeYAML (до 1.31)OpenShift Dev SpacesRed Hat Satellite (6.13 for RHEL 8)Gradle (8.14.3)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для SnakeYAML:
https://bitbucket.org/snakeyaml/snakeyaml/commits/fc300780da21f4bb92c148bc90257201220cf174
https://bitbucket.org/snakeyaml/snakeyaml/issues/525
https://github.com/snakeyaml/snakeyaml/commit/fc300780da21f4bb92c148bc90257201220cf174

Для Debian:
https://lists.debian.org/debian-lts-announce/2022/10/msg00001.html
https://security-tracker.debian.org/tracker/CVE-2022-38749

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-38749

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения snakeyaml до версии 1.23-1+deb10u1

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://bitbucket.org/snakeyaml/snakeyaml/issues/525/got-stackoverflowerror-for-many-openhttps://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47024https://lists.debian.org/debian-lts-announce/2022/10/msg00001.htmlhttps://security.gentoo.org/glsa/202305-28https://vuldb.com/?id.207867https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Проверьте безопасность своего сайта и почты → Полная проверка домена