СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
15.01.2019
#ИБ

Уязвимость BDU:2019-04406

Уязвимость BDU:2019-04406

Идентификатор: BDU:2019-04406.

Наименование уязвимости: Уязвимость платформы веб-сервисов Apache Axis, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку.

Описание уязвимости: Уязвимость платформы Web-сервисов Apache Axis связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить SSRF-атаку
Уязвимое ПО: Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 16.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 16.1 | Прикладное ПО информационных систем Oracle Corp. Tuxedo 12.1.1.0 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.56 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.57 | Сетевое программное средство Oracle Corp. WebCenter Portal 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Secure Global Desktop 5.4 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Order Broker 15.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Order Broker 16.0 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.1 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.2 | Прикладное ПО информационных систем Oracle Corp. Instantis EnterpriseTrack 17.3 | Прикладное ПО информационных систем Oracle Corp. Agile Engineering Data Management 6.2.1 | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager Base Platform 12.1.0.5 | Прикладное ПО информационных систем Oracle Corp. Oracle Hospitality Guest Access 4.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Hospitality Guest Access 4.2.1 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Application Testing Suite 13.3.0.1 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 18.8 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 7.1 | Прикладное ПО информационных систем Apache Software Foundation Axis 1.4 | Прикладное ПО информационных систем Oracle Corp. Oracle Policy Automation Connector for Siebel 10.4.6 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Application Testing Suite 13.2.0.1 | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager Base Platform 13.3.0.0 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise HCM Human Resources 9.2 | Прикладное ПО информационных систем Oracle Corp. Oracle Secure Global Desktop 5.5 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 16.2.11 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 17.12.6 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 19.12 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Design Studio 7.3.4.3.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Design Studio 7.3.5.5.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Design Studio 7.4.0.4.0 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier от 17.7 до 17.12 включительно | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Financial Services Analytical Applications Infrastructure от 7.3.3 до 7.3.5 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Endeca Information Discovery Studio 3.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Design Studio 7.4.1.1.0 | Прикладное ПО информационных систем Oracle Corp. Tuxedo 12.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Agile PLM Framework 9.3.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Order Broker 18.0 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise PeopleTools 8.58 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Element Manager 8.0.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Element Manager 8.1.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Element Manager 8.1.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Element Manager 8.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Report Manager 8.0.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Report Manager 8.1.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Report Manager 8.1.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Report Manager 8.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.0.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.1.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.1.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle FLEXCUBE Private Banking 12.0 | Прикладное ПО информационных систем Oracle Corp. Oracle FLEXCUBE Private Banking 12.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Big Data Discovery 1.6 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications ASAP Cartridges 7.2 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications ASAP Cartridges 7.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Knowledge от 8.6.0 до 8.6.3 | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Financial Services Analytical Applications Infrastructure от 8.0.0 до 8.0.8 включительно | Прикладное ПО информационных систем Oracle Corp. Financial Services Funds Transfer Pricing от 8.0.2 до 8.0.7 включительно | Прикладное ПО информационных систем Oracle Corp. Rapid Planning 12.1 | Прикладное ПО информационных систем Oracle Corp. Rapid Planning 12.2 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Order and Service Management 7.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Order and Service Management 7.4 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Network Integrity 7.3.5 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Network Integrity 7.3.6 | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager for Fusion Middleware 12.1.0.5 | Прикладное ПО информационных систем Oracle Corp. Financial Services Compliance Regulatory Reporting от 8.0.6 до 8.0.8 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Real-Time Decision Server 3.2.1.0 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: ОС ОН «Стрелец» до 16012023 |
Дата выявления: 15.01.2019.
CVSS 2.0: AV:A/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для Apache Axis:
Обновление платформы веб-сервисов Apache Axis до версии 1.7.9 или новее

Для Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения axis до версии 1.4-25strelets0.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-0227.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://nvd.nist.gov/vuln/detail/CVE-2019-0227
https://www.oracle.com/security-alerts/cpujan2021.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: