Идентификатор: BDU:2019-04290.
Наименование уязвимости: Уязвимость библиотеки Node.js языка описания интерфейсов Apache Thrift, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.
Описание уязвимости: Уязвимость библиотеки Node.js языка описания интерфейсов Apache Thrift связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем Apache Software Foundation Apache Thrift от 0.9.2 до 0.12.0 | СУБД Oracle Corp. NoSQL Database до 19.3.12 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 05.11.2018.
CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению:
Использование рекомендаций:
Для Apache Thrift:
https://lists.apache.org/thread.html/6e9edd282684896cedf615fb67a02bebfe6007f2d5baf03ba52e34fd@%3Cuser.thrift.apache.org%3E
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuoct2019.html.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-11798.
Тип ошибки CWE: CWE-538
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.securityfocus.com/bid/106501
https://access.redhat.com/errata/RHSA-2019:1545
https://access.redhat.com/errata/RHSA-2019:3140
https://lists.apache.org/thread.html/6e9edd282684896cedf615fb67a02bebfe6007f2d5baf03ba52e34fd@%3Cuser.thrift.apache.org%3E
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
