СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
01.06.2020

Уязвимость BDU:2022-03872

Уязвимость BDU:2022-03872

Идентификатор: BDU:2022-03872.

Наименование уязвимости: Уязвимость драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL, позволяющая нарушителю проводить XXE-атаки.

Описание уязвимости: Уязвимость драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Прикладное ПО информационных систем Red Hat Inc. Jboss Fuse 7 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Application Runtimes 1.0 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Descision Manager 7 | Операционная система Fedora Project Fedora 32 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support | Прикладное ПО информационных систем Red Hat Inc. Red Hat Process Automation 7 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Integration Camel K — | Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство PostgreSQL Global Development Group pgjdbc до 42.2.13 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Integration — | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat AMQ Online — | Прикладное ПО информационных систем Red Hat Inc. Quarkus до 1.5.2 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 6 | Red Hat Enterprise Linux 7 | Red Hat Enterprise Linux 8 | Fedora 32 | Red Hat Enterprise Linux 80 Update Services for SAP Solutions | Red Hat Enterprise Linux 81 Extended Update Support | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 01.06.2020.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:P/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)

Возможные меры по устранению:
Использование рекомендаций:
Для PgJDBC:
https://jdbc.postgresql.org/documentation/changelog.html#version_42.2.13

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DCCAPM6FSNOC272DLSNQ6YHXS3OMHGJC/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-13692

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u2.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-13692.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/cve-2020-13692
https://github.com/pgjdbc/pgjdbc/commit/14b62aca4764d496813f55a43d050b017e01eb65
https://jdbc.postgresql.org/documentation/changelog.html#version_42.2.13
https://lists.apache.org/thread.html/r00bcc6b2da972e0d6332a4ebc7807e17305d8b8e7fb2ae63d2a3cbfb@%3Ccommits.camel.apache.org%3E
https://lists.apache.org/thread.html/r01ae1b3d981cf2e563e9b5b0a6ea54fb3cac8e9a0512ee5269e3420e@%3Ccommits.camel.apache.org%3E
https://lists.apache.org/thread.html/r0478a1aa9ae0dbd79d8f7b38d0d93fa933ac232e2b430b6f31a103c0@%3Ccommits.camel.apache.org%3E
https://lists.apache.org/thread.html/r1aae77706aab7d89b4fe19be468fc3c73e9cc84ff79cc2c3bd07c05a@%3Ccommits.camel.apache.org%3E
https://lists.apache.org/thread.html/r4bdea189c9991aae7a929d28f575ec46e49ed3d68fa5235825f38a4f@%3Cnotifications.netbeans.apache.org%3E
https://lists.apache.org/thread.html/r631f967db6260d6178740a3314a35d9421facd8212e62320275fa78e@%3Ccommits.camel.apache.org%3E
https://lists.apache.org/thread.html/r7f6d019839df17646ffd0046a99146cacf40492a6c92078f65fd32e0@%3Ccommits.camel.apache.org%3E
https://lists.apache.org/thread.html/rb89f92aba44f524d5c270e0c44ca7aec4704691c37fe106cf73ec977@%3Cnotifications.netbeans.apache.org%3E
https://lists.apache.org/thread.html/rfe363bf3a46d440ad57fd05c0e313025c7218364bbdc5fd8622ea7ae@%3Ccommits.camel.apache.org%3E
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DCCAPM6FSNOC272DLSNQ6YHXS3OMHGJC/
https://security.netapp.com/advisory/ntap-20200619-0005/
https://access.redhat.com/security/cve/cve-2020-13692
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: