ГлавнаяБаза уязвимостей БДУ → BDU:2023-05611
6.8средняя

BDU:2023-05611 (CVE-2022-41854)

Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML, связанная с переполнением буфера на стеке, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-14
Описание

Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Jboss Fuse (7)Debian GNU/Linux (10)JBoss Enterprise Application Platform (7)OpenShift Application RuntimesRed Hat Single Sign-On (7)OpenShift Container Platform (4)A-MQ Clients (2)Red Hat Integration Camel KDebian GNU/Linux (11)Red Hat JBoss Enterprise Application Platform Expansion PackРЕД ОС (7.3)Fedora (36)JBoss Enterprise Application Platform (7.4 for RHEL 8)JBoss Enterprise Application Platform (7.4 on RHEL 7)Fedora (37)OpenShift Developer Tools and ServicesRed Hat Integration Camel for Spring BootRed Hat Single Sign-On (7.6)Fedora (38)Cassandra (4.1.3)SnakeYAML (до 1.32)OpenShift Dev SpacesJBoss Enterprise Application Platform (7.4 for RHEL 9)Red Hat Enterprise Linux (8 Middleware Containers)Migration Toolkit for Runtimes (1)Migration Toolkit for Applications (6.2)Gradle (8.14.3)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для SnakeYAML:
https://bitbucket.org/snakeyaml/snakeyaml/commits/72dfa9f1074abe2b8a6c8776bee4476b0aed02e3

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KSPAJ5Y45A4ZDION2KN5RDWLHK4XKY2J/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7MKE4XWRXTH32757H7QJU4ACS67DYDCR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3DDXEXXWAZGF5AVHIPGFPXIWL6TSMKJE/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-41854

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-41854

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=50355https://bitbucket.org/snakeyaml/snakeyaml/commits/72dfa9f1074abe2b8a6c8776bee4476b0aed02e3https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KSPAJ5Y45A4ZDION2KN5RDWLHK4XKY2J/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7MKE4XWRXTH32757H7QJU4ACS67DYDCR/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3DDXEXXWAZGF5AVHIPGFPXIWL6TSMKJE/https://access.redhat.com/security/cve/CVE-2022-41854https://security-tracker.debian.org/tracker/CVE-2022-41854http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена