СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
14.04.2020
#ИБ

Уязвимость BDU:2020-02695

Уязвимость BDU:2020-02695

Идентификатор: BDU:2020-02695.

Наименование уязвимости: Уязвимость компонента Spring Framework программного продукта Oracle Retail Order Broker, позволяющая нарушителю получить полный контроль над приложением.

Описание уязвимости: Уязвимость компонента Spring Framework программного продукта Oracle Retail Order Broker существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над приложением с помощью сетевого HTTP протокола
Уязвимое ПО: Сетевое программное средство Oracle Corp. WebLogic Server 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Order Broker 15.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Order Broker 16.0 | Прикладное ПО информационных систем Red Hat Inc. Red Hat JBoss Fuse 7 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Application Testing Suite 13.3.0.1 | Сетевое программное средство Oracle Corp. WebLogic Server 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Predictive Application Server 15.0.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Predictive Application Server 16.0.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Assortment Planning 15.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Assortment Planning 16.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Element Manager 8.1.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Element Manager 8.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Report Manager 8.1.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Report Manager 8.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.1.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Financial Integration 15.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Financial Integration 16.0 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework от 5.2.0 до 5.2.3 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework от 5.0.0 до 5.0.16 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework от 5.1.1 до 5.1.13 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework 5.1.0 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework 5.1.0 rc1 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework 5.1.0 rc2 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework 5.1.0 rc3 | Прикладное ПО информационных систем Oracle Corp. Communications BRM — Elastic Charging Engine 11.3 | Прикладное ПО информационных систем Oracle Corp. Communications BRM — Elastic Charging Engine 12.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Element Manager 8.2.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Report Manager 8.2.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.2.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Healthcare Master Person Index 4.0.2 | Сетевое программное средство Oracle Corp. Insurance Policy Administration J2EE 10.2.0 | Сетевое программное средство Oracle Corp. Insurance Policy Administration J2EE 10.2.4 | Сетевое программное средство Oracle Corp. Insurance Policy Administration J2EE 11.0.2 | Сетевое программное средство Oracle Corp. Insurance Policy Administration J2EE 11.1.0 | Сетевое программное средство Oracle Corp. Insurance Policy Administration J2EE 11.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Insurance Rules Palette 10.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Insurance Rules Palette 10.2.4 | Прикладное ПО информационных систем Oracle Corp. Oracle Insurance Rules Palette 11.0.2 | Прикладное ПО информационных систем Oracle Corp. Oracle Insurance Rules Palette 11.1.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Insurance Rules Palette 11.2.0 | Сетевое программное средство Oracle Corp. MySQL Enterprise Monitor до 4.0.12 включительно | Сетевое программное средство Oracle Corp. MySQL Enterprise Monitor до 8.0.20 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Predictive Application Server 14.0.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Predictive Application Server 14.1.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Service Backbone 15.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Service Backbone 16.0 | Прикладное ПО информационных систем Oracle Corp. Rapid Planning 12.1 | Прикладное ПО информационных систем Oracle Corp. Rapid Planning 12.2 | Прикладное ПО информационных систем Oracle Corp. Oracle FLEXCUBE Private Banking 12.0.0 | Прикладное ПО информационных систем Oracle Corp. Oracle FLEXCUBE Private Banking 12.1.0 | ПО сетевого программно-аппаратного средства Oracle Corp. Communications Diameter Signaling Router от 8.0.0 до 8.2.2 включительно | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager Base Platform 13.2.1.0 | Сетевое программное средство Oracle Corp. Insurance Policy Administration J2EE 11.2.2.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Bulk Data Integration 16.0.3.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 14.04.2020.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению:
Использование рекомендаций:
Для Spring Framework:
https://tanzu.vmware.com/security/cve-2020-5398

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-5398.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-5398.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://lists.apache.org/thread.html/r028977b9b9d44a89823639aa3296fb0f0cfdd76b4450df89d3c4fbbf@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/r0f2d0ae1bad2edb3d4a863d77f3097b5e88cfbdae7b809f4f42d6aad@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/r0f3530f7cb510036e497532ffc4e0bd0b882940448cf4e233994b08b@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/r1accbd4f31ad2f40e1661d70a4510a584eb3efd1e32e8660ccf46676@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/r1bc5d673c01cfbb8e4a91914e9748ead3e5f56b61bca54d314c0419b@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/r2dfd5b331b46d3f90c4dd63a060e9f04300468293874bd7e41af7163@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/r3765353ff434fd00d8fa5a44734b3625a06eeb2a3fb468da7dfae134@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/r4639e821ef9ca6ca10887988f410a60261400a7766560e7a97a22efc@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/r4b1886e82cc98ef38f582fef7d4ea722e3fcf46637cd4674926ba682@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/r6dac0e365d1b2df9a7ffca12b4195181ec14ff0abdf59e1fdb088ce5@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/r712a6fce928e24e7b6ec30994a7e115a70f1f6e4cf2c2fbf0347ce46@%3Ccommits.servicecomb.apache.org%3E
https://lists.apache.org/thread.html/r7361bfe84bde9d233f9800c3a96673e7bd81207549ced0236f07a29d@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/r74f81f93a9b69140fe41e236afa7cbe8dfa75692e7ab31a468fddaa0@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/r7d5e518088e2e778928b02bcd3be3b948b59acefe2f0ebb57ec2ebb0@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/r8736185eb921022225a83e56d7285a217fd83f5524bd64a6ca3bf5cc@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/r8cc37a60a5056351377ee5f1258f2a4fdd39822a257838ba6bcc1e88@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/r9fb1ee08cf337d16c3364feb0f35a072438c1a956afd7b77859aa090@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/rab0de39839b4c208dcd73f01e12899dc453361935a816a784548e048@%3Cissues.karaf.apache.org%3E
https://lists.apache.org/thread.html/rb4d1fc078f086ec2e98b2693e8b358e58a6a4ef903ceed93a1ee2b18@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/rc05acaacad089613e9642f939b3a44f7199b5537493945c3e045287f@%3Cdev.geode.apache.org%3E
https://lists.apache.org/thread.html/rdcaadaa9a68b31b7d093d76eacfaacf6c7a819f976b595c75ad2d4dc@%3Cdev.geode.apache.org%3E
https://lists.apache.org/thread.html/reaa8a6674baf2724b1b88a621b0d72d9f7a6f5577c88759842c16eb6@%3Ccommits.karaf.apache.org%3E
https://lists.apache.org/thread.html/rf8dc72b974ee74f17bce661ea7d124e733a1f4c4f236354ac0cf48e8@%3Ccommits.camel.apache.org%3E
https://pivotal.io/security/cve-2020-5398
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://access.redhat.com/security/cve/cve-2020-5398
https://www.oracle.com/security-alerts/cpujan2021.html

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: