ГлавнаяБаза уязвимостей БДУ → BDU:2024-02253
7.8высокая

BDU:2024-02253 (CVE-2022-37866)

Уявимость пакетного менеджера Apache Ivy, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к файловой системе
Опубликовано: 2024-03-22
Описание

Уявимость пакетного менеджера Apache Ivy связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к файловой системе

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat JBoss Fuse (7)Red Hat Software CollectionsRed Hat Single Sign-On (7)Red Hat JBoss Data Grid (7)SUSE Linux Enterprise Module for Development Tools (15 SP2)Suse Linux Enterprise Server (15 SP 3)Red Hat Integration Camel KRed Hat Integration Camel QuarkusRed Hat Data Grid (8)Red Hat JBoss Enterprise Application Platform Expansion PackРЕД ОС (7.3)SUSE Linux Enterprise High Performance Computing (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)SUSE Enterprise Storage (7)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Linux Enterprise High Performance Computing (15 SP2-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Module for Development Tools (15 SP3)SUSE Manager Retail Branch Server (4.1)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2)Suse Linux Enterprise Desktop (15 SP4)
Способ устранения

Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-37866.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-37866

Для программных продуктов Apache Software Foundation:
https://ant.apache.org/ivy/

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-apache-ivy-cve-2022-37866-cve-2022-37865/?sphrase_id=592508

Компенсирующие меры для программных продуктов JetBrains:
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.suse.com/security/cve/CVE-2022-37866.htmlhttps://access.redhat.com/security/cve/CVE-2022-37866https://ant.apache.org/ivy/https://github.com/JetBrains/intellij-scalahttps://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-apache-ivy-cve-2022-37866-cve-2022-37865/?sphrase_id=592508
Проверьте безопасность своего сайта и почты → Полная проверка домена