СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
25.06.2018
#ИБ#Инфра

Уязвимость BDU:2019-00563

Уязвимость BDU:2019-00563

Идентификатор: BDU:2019-00563.

Наименование уязвимости: Уязвимость реализации механизма HiddenHttpMethodFilter программной платформы Spring Framework, позволяющая нарушителю осуществить межсайтовую сценарную атаку.

Описание уязвимости: Уязвимость реализации механизма HiddenHttpMethodFilter программной платформы Spring Framework связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую сценарную атаку с использованием метода трассировки TRACE
Уязвимое ПО: Прикладное ПО информационных систем Oracle Corp. Primavera P6 Enterprise Project Portfolio Management 18.8 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework от 5.0.0 до 5.0.7 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework от 4.3.0 до 4.3.18 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Clearance Optimization Engine 14.0.5 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Markdown Optimization 13.4.4 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: ОС ОН «Стрелец» до 16012023 |
Дата выявления: 25.06.2018.
CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению:
Использование рекомендаций:
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://pivotal.io/security/cve-2018-11039
https://www.oracle.com/security-alerts/cpujan2020.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libspring-java до версии 4.3.5-1+deb9u1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-11039.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
http://www.securityfocus.com/bid/107984
https://pivotal.io/security/cve-2018-11039
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: