Уязвимость BDU:2019-02936

Дата: 21.06.2019. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2019-02936.

Наименование уязвимости: Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путем отмены обработки объекта XML или другого поддерживаемого формата
Уязвимое ПО: Сетевое программное средство Oracle Corp. WebLogic Server 10.3.6.0 | Сетевое программное средство Oracle Corp. WebLogic Server 12.1.3.0 | Сетевое программное средство Oracle Corp. Fusion Middleware MapViewer 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 16.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 16.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Endeca Information Discovery Integrator 3.2.0 | Сетевое программное средство Oracle Corp. WebCenter Portal 11.1.1.9.0 | Сетевое программное средство Oracle Corp. WebCenter Portal 12.2.1.3.0 | Сетевое программное средство Oracle Corp. WebLogic Server 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Order Broker 15.0 | Прикладное ПО информационных систем Xstream Project XStream 1.4.10 | Прикладное ПО информационных систем Oracle Corp. Oracle Data Integrator 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Utilities Framework 4.4.0.0.0 | Прикладное ПО информационных систем Oracle Corp. Utilities Framework 4.2.0.3.0 | Прикладное ПО информационных систем Oracle Corp. Utilities Framework 4.2.0.2.0 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 18.8 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 17.0 | Сетевое программное средство Oracle Corp. WebLogic Server 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Unified Inventory Management 7.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Unified Inventory Management 7.4 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 19.12 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier от 17.7 до 17.12 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Financial Services Market Risk Measurement and Management 8.0.6 | Прикладное ПО информационных систем Oracle Corp. Oracle Endeca Information Discovery Studio 3.2.0 | Сетевое программное средство Oracle Corp. WebCenter Portal 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Financial Services Asset Liability Management 8.0.7 | Прикладное ПО информационных систем Oracle Corp. Financial Services Profitability Management 8.0.6 | Прикладное ПО информационных систем Oracle Corp. Financial Services Profitability Management 8.0.7 | Прикладное ПО информационных систем Oracle Corp. Financial Services Funds Transfer Pricing 8.0.6 | Прикладное ПО информационных систем Oracle Corp. Financial Services Funds Transfer Pricing 8.0.7 | Прикладное ПО информационных систем Oracle Corp. Communications MetaSolv Solution 6.3.0 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Financial Services Analytical Applications Infrastructure от 8.0.6 до 8.1.0 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle SD-WAN Edge 9.0 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router от 8.0.0 до 8.2.2 включительно | Прикладное ПО информационных систем Oracle Corp. Communications BRM — Elastic Charging Engine 11.3.0.9.0 | Прикладное ПО информационных систем Oracle Corp. Communications BRM — Elastic Charging Engine 12.0.0.3.0 | Прикладное ПО информационных систем Oracle Corp. Banking Platform от 2.4.0 до 2.10.0 включительно | Прикладное ПО информационных систем Oracle Corp. Utilities Framework 2.2.0.0.0 | Прикладное ПО информационных систем Oracle Corp. Utilities Framework от 4.3.0.1.0 до 4.3.0.6.0 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Financial Services Asset Liability Management 8.1.0 | Прикладное ПО информационных систем Oracle Corp. Financial Services Funds Transfer Pricing 8.1.0 | Прикладное ПО информационных систем Oracle Corp. Financial Services Profitability Management 8.1.0 | Прикладное ПО информационных систем Oracle Corp. Insurance Allocation Manager for Enterprise Profitability 8.1.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Data Integrator 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 20.12 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Financial Integration 14.1.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Financial Integration 15.0.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Financial Integration 16.0.3 | Прикладное ПО информационных систем Oracle Corp. Retail Integration Bus 14.1.3 | Прикладное ПО информационных систем Oracle Corp. Retail Integration Bus 15.0.3 | Прикладное ПО информационных систем Oracle Corp. Retail Integration Bus 16.0.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Service Backbone 14.1.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Service Backbone 15.0.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Service Backbone 16.0.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Real-Time Decision Server 3.2.1.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Data Integrator 11.1.1.9.0 | Сетевое программное средство Oracle Corp. MySQL Enterprise Monitor до 8.0.22 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Business Activity Monitoring 11.1.1.9.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Business Activity Monitoring 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Communications MetaSolv Solution 6.3.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 21.06.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для XStream:

http://x-stream.github.io/changes.html#1.4.11

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2021.html.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-10173.
Прочая информация:
Тип ошибки CWE: CWE-502
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/cve-2019-10173

http://x-stream.github.io/changes.html#1.4.11

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10173

https://www.cvedetails.com/cve/CVE-2019-10173/
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2021.html

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *