Уязвимость BDU:2022-04788

Идентификатор: BDU:2022-04788.

Наименование уязвимости: Уязвимость библиотеки Apache Xalan Java XSLT, связанная с ошибкой приведения целочисленного значения, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость библиотеки Apache Xalan Java XSLT связана с ошибкой приведения целочисленного значения при обработке таблиц стилей XSLT. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система АО «ИВК» Альт 8 СП — | Прикладное ПО информационных систем Red Hat Inc. Red Hat build of OpenJDK 11 | Прикладное ПО информационных систем Red Hat Inc. Red Hat build of OpenJDK 17 | Прикладное ПО информационных систем Red Hat Inc. Red Hat build of OpenJDK 1.8 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Прикладное ПО информационных систем Oracle Corp. Java SE 7u343 | Прикладное ПО информационных систем Oracle Corp. Java SE 8u333 | Прикладное ПО информационных систем Oracle Corp. Java SE 11.0.15.1 | Прикладное ПО информационных систем Oracle Corp. Java SE 17.0.3.1 | Прикладное ПО информационных систем Oracle Corp. Java SE 18.0.1.1 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 22.1.0 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 21.3.2 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 20.3.6 | Прикладное ПО информационных систем Oracle Corp. OpenJDK до 7u341 включительно | Прикладное ПО информационных систем Oracle Corp. OpenJDK 8u332 | Прикладное ПО информационных систем Oracle Corp. OpenJDK 11.0.15 | Прикладное ПО информационных систем Oracle Corp. OpenJDK 13.0.11 | Прикладное ПО информационных систем Oracle Corp. OpenJDK 15.0.7 | Прикладное ПО информационных систем Oracle Corp. OpenJDK 17.0.3 | Прикладное ПО информационных систем Oracle Corp. OpenJDK 18.0.1 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 | Операционная система АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9 | Прикладное ПО информационных систем Oracle Corp. OpenJDK 7u341 | Прикладное ПО информационных систем OpenSearch Logstash 8.9.0 | Операционная система АО «ИВК» АЛЬТ СП 10 — | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.9 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 11.0.15.1 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 17.0.3.1.1 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 17.0.4 | Прикладное ПО информационных систем Axiom JDK Axiom AxiomJDK до 8u341 |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 7 | Red Hat Enterprise Linux 8 | Red Hat Enterprise Linux 82 Extended Update Support | Red Hat Enterprise Linux 81 Update Services for SAP Solutions | Red Hat Enterprise Linux 84 Extended Update Support | РЕД ОС 73 | Альт 8 СП — | Red Hat Enterprise Linux 9 | ОСОН ОСнова Оnyx до 26 | РОСА Кобальт 79 | АЛЬТ СП 10 — | ОСОН ОСнова Оnyx до 29 |
Дата выявления: 13.07.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для Apache:
https://github.com/openjdk/jdk/commit/41ef2b249073450172e11163a4d05762364b1297

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2022.html#AppendixJAVA
https://openjdk.org/groups/vulnerability/advisories/2022-07-19

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-34169

Для OpenJDK:
https://openjdk.org/groups/vulnerability/advisories/2022-07-19

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bcel до версии 6.2+repack-1+deb10u1.osnova1

Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2138

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21

Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-34169.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/security-alerts/cpujul2022.html#AppendixJAVA
https://access.redhat.com/security/cve/cve-2022-34169
https://bugzilla.redhat.com/show_bug.cgi?id=2108554
http://www.openwall.com/lists/oss-security/2022/07/19/5
http://www.openwall.com/lists/oss-security/2022/07/19/6
http://www.openwall.com/lists/oss-security/2022/07/20/2
http://www.openwall.com/lists/oss-security/2022/07/20/3
https://lists.apache.org/thread/12pxy4phsry6c34x2ol4fft6xlho4kyw
https://lists.apache.org/thread/2qvl7r43wb4t8p9dd9om1bnkssk07sn8
https://github.com/openjdk/jdk/commit/41ef2b249073450172e11163a4d05762364b1297
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2138
https://openjdk.org/groups/vulnerability/advisories/2022-07-19
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
https://axiomjdk.ru/blog/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://altsp.su/obnovleniya-bezopasnosti/
https://altsp.su/obnovleniya-bezopasnosti/