Уязвимость BDU:2022-02512

Дата: 01.04.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-02512.

Наименование уязвимости: Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2, связанная с возможностью загрузки произвольного JSP-файла на сервер, позволяющая нарушителю.

Описание уязвимости: Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2 связана с возможностью загрузки произвольного JSP-файла на сервер. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем WSO2 WSO2 API Manager от 2.2.0 до 4.0.0 включительно | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server от 5.2.0 до 5.11.0 включительно | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server Analytics 5.4.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server Analytics 5.4.1 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server Analytics 5.5.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server Analytics 5.6.0 | Сетевое средство, Сетевое программное средство WSO2 WSO2 Identity Server as Key Manager от 5.3.0 до 5.10.0 включительно | Прикладное ПО информационных систем WSO2 WSO2 Enterprise Integrator от 6.2.0 до 6.6.0 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.04.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— для продуктов WSO2 API Manager 2.6.0, 2.5.0, 2.2.0;
— для продуктов WSO2 Identity Server 5.8.0, 5.7.0, 5.6.0, 5.5.0, 5.4.1, 5.4.0, 5.3.0, 5.2.0;
— для продуктов WSO2 Identity Server as Key Manager 5.7.0, 5.6.0, 5.5.0, 5.3.0;
— для продуктов WSO2 IS Analytics 5.6.0, 5.5.0, 5.4.1, 5.4.0 удалить все сопоставления, определенные внутри тега FileUploadConfig в <product_home>/repository/conf/carbon.xml.

Для WSO2 API Manager 4.0.0, 3.2.0, 3.1.0, 3.0.0 добавить следующую конфигурацию в <product_home>/repository/conf/deployment.toml
[[resource.access_control]]
context="(.*)/fileupload/resource(.*)"
secure=false
http_method = "all"

[[resource.access_control]]
context="(.*)/fileupload/(.*)"
secure=true
http_method = "all"
permissions = ["/permission/protected/"]

Для WSO2 Identity Server 5.11.0, 5.10.0, 5.9.0, WSO2 Identity Server as Key Manager 5.10.0, 5.9.0 добавить следующую конфигурацию в <product_home>/repository/conf/deployment.toml
[[resource.access_control]]
context="(.*)/fileupload/service(.*)"
secure=false
http_method = "all"

[[resource.access_control]]
context="(.*)/fileupload/entitlement-policy(.*)"
secure=false
http_method = "all"

[[resource.access_control]]
context="(.*)/fileupload/resource(.*)"
secure=false
http_method = "all"

[[resource.access_control]]
context="(.*)/fileupload/(.*)"
secure=true
http_method = "all"
permissions = ["/permission/protected/"]

Для WSO2 Enterprise Integrator 6.6.0, 6.5.0, 6.4.0, 6.3.0, 6.2.0 в профиле EI снять следующие сопоставления в файле <product_home> /conf/carbon.xml из раздела <fileuploadconfig>.
Для бизнес-процессов/брокеров и профилей аналитики применить одинаковое изменение файла CARGON.XML в следующих местах:
<product_home>/wso2/broker/conf/carbon.xml;
<product_home>/wso2/business-process/conf/carbon.xml;
<product_home>/wso2/analytics/conf/carbon.xml.
<Mapping>
<Actions>
<Action>keystore</Action>
<Action>certificate</Action>
<Action>*</Action>
</Actions>
<Class>org.wso2.carbon.ui.transports.fileupload.AnyFileUploadExecutor</Class>
</Mapping>

<Mapping>
<Actions>
<Action>jarZip</Action>
</Actions>
<Class>org.wso2.carbon.ui.transports.fileupload.JarZipUploadExecutor</Class>
</Mapping>

<Mapping>
<Actions>
<Action>tools</Action>
</Actions>
<Class>org.wso2.carbon.ui.transports.fileupload.ToolsFileUploadExecutor</Class>
</Mapping>

<Mapping>
<Actions>
<Action>toolsAny</Action>
</Actions>
<Class>org.wso2.carbon.ui.transports.fileupload.ToolsAnyFileUploadExecutor</Class>
</Mapping>

Использование рекомендаций:
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-29464.

Тип ошибки CWE: CWE-434
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738
https://github.com/wso2/carbon-kernel/pull/3152
https://github.com/wso2/carbon-identity-framework/pull/3864
https://github.com/wso2-extensions/identity-carbon-auth-rest/pull/167
https://vuldb.com/ru/?id.197671

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.