ГлавнаяБаза уязвимостей БДУ → BDU:2023-05627
7.8высокая

BDU:2023-05627 (CVE-2022-41966)

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, связанная с переполнением буфера на стеке, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-14
Описание

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
OpenShift Container Platform (3.11)Jboss Fuse (7)JBoss Data Grid (7)Red Hat Single Sign-On (7)JBoss Enterprise Application Platform (6)Red Hat Process Automation (7)Red Hat build of QuarkusRed Hat Integration Camel KRed Hat Integration Service RegistryRed Hat Integration Camel QuarkusRed Hat Data Grid (8)OpenShift Container Platform (4.10)Decision Manager (7)OpenShift Developer Tools and ServicesRed Hat Integration Camel for Spring BootОСОН ОСнова Оnyx (до 2.7)Keycloak (22.0.1)XStream (до 1.4.20)Jboss Fuse Service Works (6)Migration Toolkit for Runtimes (1)Migration Toolkit for Applications (6.1)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для XStream:
https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpv
https://x-stream.github.io/CVE-2022-41966.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-41966

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libxstream-java до версии 1.4.11.1-1+deb10u4

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpvhttps://x-stream.github.io/CVE-2022-41966.htmlhttps://vuldb.com/ru/?id.226393https://access.redhat.com/security/cve/cve-2022-41966https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Проверьте безопасность своего сайта и почты → Полная проверка домена