Уязвимость BDU:2022-04683

Дата: 03.10.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04683.

Наименование уязвимости: Уязвимость приложения для проверки и тестирования JSON-файлов JSON Schema, связанная с недостаточным контролем модификации динамически определённых характеристик объекта, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость приложения для проверки и тестирования JSON-файлов JSON Schema связана с недостаточным контролем модификации динамически определённых характеристик объекта при обработке JSON-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 12 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Web Scripting 12 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 6 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Software Collections — | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 15-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Quay 3 | Прикладное ПО информационных систем Novell Inc. SUSE CaaS Platform 4.0 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP1-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP1-ESPOS | Операционная система Novell Inc. OpenSUSE Leap 15.3 | Прикладное ПО информационных систем Red Hat Inc. Openshift Service Mesh 2 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support | Операционная система Novell Inc. OpenSUSE Leap 15.4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Proxy 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Server 4.2 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 7 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Server 4.1 | Прикладное ПО информационных систем Novell Inc. SUSE Manager Proxy 4.1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP2-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 15 SP2-LTSS | Сетевое средство, Сетевое программное средство Novell Inc. SUSE Manager Retail Branch Server 4.1 | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat Advanced Cluster Management for Kubernetes 2 | Прикладное ПО информационных систем Red Hat Inc. Red Hat OpenShift Container Platform 4 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL | Сетевое средство, Сетевое программное средство Novell Inc. SUSE Manager Retail Branch Server 4.2 | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat Advanced Cluster Management for Kubernetes 2.3 | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat Advanced Cluster Management for Kubernetes 2.4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS | Прикладное ПО информационных систем Red Hat Inc. Openshift Service Mesh 2.1.0 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 7.1 | Прикладное ПО информационных систем JSON Schema до 0.4.0 | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat Advanced Cluster Management for Kubernetes 2.5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Web Scripting 15 SP3 | Сетевое программное средство Node.js Foundation Node.js до 16.11.0 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: SUSE Linux Enterprise Server for SAP Applications 12 SP3 | SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Suse Linux Enterprise Server 12 SP3 | Suse Linux Enterprise Server 12 SP4 | Red Hat Enterprise Linux 8 | SUSE Linux Enterprise Server for SAP Applications 15 | SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Suse Linux Enterprise Server 12 SP5 | SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Suse Linux Enterprise Server 15-LTSS | SUSE Linux Enterprise Server for SAP Applications 12 | Suse Linux Enterprise Server 15 SP1-BCL | Suse Linux Enterprise Server 15 SP1-LTSS | OpenSUSE Leap 153 | Suse Linux Enterprise Server 12 | Red Hat Enterprise Linux 84 Extended Update Support | OpenSUSE Leap 154 | Suse Linux Enterprise Server 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Suse Linux Enterprise Server 15 SP2-BCL | Red Hat Enterprise Linux 9 | Suse Linux Enterprise Server 15 SP2-LTSS | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 03.10.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для JSON Schema:
https://github.com/kriszyp/json-schema/commit/22f146111f541d9737e832823699ad3528ca7741

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-3918

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-3918.html

Для Node.js:
https://nodejs.org/en/blog/release/v16.11.0/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-json-schema до версии 0.3.0+~7.0.6-1+deb11u1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-3918.

Тип ошибки CWE: CWE-915, CWE-1321
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/CVE-2021-3918
http://json-schema.org/
https://www.suse.com/security/cve/CVE-2021-3918.html
https://github.com/kriszyp/json-schema/commit/22f146111f541d9737e832823699ad3528ca7741
https://huntr.dev/bounties/bb6ccd63-f505-4e3a-b55f-cd2662c261a9
https://nvd.nist.gov/vuln/detail/CVE-2021-3918
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *