СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
06.04.2016

Уязвимость BDU:2022-02190

Уязвимость BDU:2022-02190

Идентификатор: BDU:2022-02190.

Наименование уязвимости: Уязвимость реализации метода readRemoteInvocation обработчика HTTP-запросов на основе Servlet-API HttpInvokerServiceExporter программной платформы Spring Framework, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость реализации метода readRemoteInvocation обработчика HTTP-запросов на основе Servlet-API HttpInvokerServiceExporter программной платформы Spring Framework связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально созданных запросов
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 11 | Сетевое средство, Сетевое программное средство IBM Corp. IBM Cloud Object Storage Systems до 3.16.3.47 включительно | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework 4.1.4 | Прикладное ПО информационных систем Apache Software Foundation NiFi Registry 1.24.0 | Прикладное ПО информационных систем ООО «НеМо» Программный комплекс информационной системы «Формирование ПД» до RU.53305691.00007-03 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Debian GNU/Linux 10 | Debian GNU/Linux 11 |
Дата выявления: 06.04.2016.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Компенсирующие меры:
— отключение/удаление неиспользуемых учетных записей пользователей;
— минимизация пользовательских привилегий;
— использование антивирусных средств защиты;
— контроль действий пользователей.

Использование рекомендаций:
Для Spring Framework:
https://github.com/spring-projects/spring-framework/issues/24434

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2016-1000027

Для продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-expat-spring-framework-and-apache-http-server-affect-ibm-cloud-object-storage-systems-feb-2022-v2/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2016-1000027.
Прочая информация: Эта уязвимость связана с ранее обнаруженной уязвимостью десериализации (CVE-2011-2894)
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-1000027
https://github.com/spring-projects/spring-framework/issues/24434#issuecomment-579669626
https://github.com/spring-projects/spring-framework/issues/24434#issuecomment-582313417
https://security-tracker.debian.org/tracker/CVE-2016-1000027
https://www.tenable.com/security/research/tra-2016-20
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-with-expat-spring-framework-and-apache-http-server-affect-ibm-cloud-object-storage-systems-feb-2022-v2/
https://nvd.nist.gov/vuln/detail/CVE-2016-1000027

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: