Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для SnakeYAML:
https://bitbucket.org/snakeyaml/snakeyaml/commits/fc300780da21f4bb92c148bc90257201220cf174
https://bitbucket.org/snakeyaml/snakeyaml/issues/525
https://github.com/snakeyaml/snakeyaml/commit/fc300780da21f4bb92c148bc90257201220cf174
Для Debian:
https://lists.debian.org/debian-lts-announce/2022/10/msg00001.html
https://security-tracker.debian.org/tracker/CVE-2022-38749
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-38749
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения snakeyaml до версии 1.23-1+deb10u1
| Балл | 6.8 — средняя опасность |