6.8средняя
BDU:2023-08465 (CVE-2022-40152)
Уязвимость библиотеки woodstox, связанная с переполнением буфера в стеке, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-12-06
Описание
Уязвимость библиотеки woodstox связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat JBoss Fuse (7)Debian GNU/Linux (10)Red Hat JBoss Fuse (6)openSUSE TumbleweedRed Hat OpenStack Platform (13.0 (Queens))Red Hat JBoss Data Virtualization (6)Red Hat JBoss Data Grid (7)Red Hat build of QuarkusRed Hat Integration Camel KDebian GNU/Linux (11)Debian GNU/Linux (12)Red Hat Data Grid (8)Red Hat JBoss Fuse Service Works (6)SUSE Manager Server (4.2)Red Hat OpenShift Container Platform (4)Red Hat Satellite (6)SUSE Manager Server (4.3)Decision Manager (7)Ubuntu (22.10)Migration Toolkit for RuntimesRed Hat JBoss Enterprise Application Platform (7)XStream (до 1.4.19 включительно)SonarQube (9.3.3)woodstox (до 5.4.0)woodstox (от 6.0.0 до 6.4.0)Red Hat Integration Camel Quarkus (2.13.2)Red Hat Integration Camel for Spring Boot (3.20.1)Red Hat Integration Service Registry (2.4.3 GA)Red Hat Process Automation Manager (7.13.4)
Способ устранения
Использование рекомендаций:
Для программных продуктов Xstream Project:
https://github.com/x-stream/xstream/issues/304
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40152
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-40152
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-40152
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-40152.html
Для woodstox:
Обновление программного обеспечения до версий 6.4.0, 5.4.0 и выше
Для программных продуктов SonarSource
Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.
Оценка CVSS
| Балл | 6.8 — средняя опасность |
Источники и патчи