ГлавнаяБаза уязвимостей БДУ → BDU:2023-05610
6.8средняя

BDU:2023-05610 (CVE-2022-38752)

Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML, связанная с переполнением буфера на стеке, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-14
Описание

Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)JBoss Enterprise Application Platform (7)Red Hat Single Sign-On (7)Red Hat Integration Camel KRed Hat Integration Camel QuarkusDebian GNU/Linux (11)Red Hat Data Grid (8)JBoss Enterprise Application Platform (7.4 for RHEL 8)JBoss Enterprise Application Platform (7.4 on RHEL 7)OpenShift Developer Tools and ServicesRed Hat Integration Camel for Spring BootRed Hat Single Sign-On (7.6)Red Hat JBoss A-MQ StreamsCassandra (4.1.3)SnakeYAML (до 1.32)OpenShift Dev SpacesJBoss Enterprise Application Platform (7.4 for RHEL 9)Gradle (8.14.3)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для SnakeYAML:
https://bitbucket.org/snakeyaml/snakeyaml/commits/5056a448f09c46250346c338e821386caa751182

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-38752

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-38752

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://bitbucket.org/snakeyaml/snakeyaml/issues/531/stackoverflow-oss-fuzz-47081https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47081https://security.gentoo.org/glsa/202305-28https://vuldb.com/ru/?id.207870https://bitbucket.org/snakeyaml/snakeyaml/commits/5056a448f09c46250346c338e821386caa751182https://access.redhat.com/security/cve/CVE-2022-38752https://security-tracker.debian.org/tracker/CVE-2022-38752
Проверьте безопасность своего сайта и почты → Полная проверка домена