Уязвимость BDU:2022-05511

Дата: 01.04.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-05511.

Наименование уязвимости: Уязвимость компонента webapps контейнера сервлетов Eclipse Jetty, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость компонента webapps контейнера сервлетов Eclipse Jetty связана с некорректным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем Oracle Corp. Oracle Communications Services Gatekeeper 7.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Banking Digital Experience 20.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Banking Digital Experience 21.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Banking APIs 20.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Banking APIs 21.1 | Прикладное ПО информационных систем Oracle Corp. Autovue for Agile Product Lifecycle Management 21.0.2 | Сетевое средство, Сетевое программное средство Oracle Corp. REST Data Services до 21.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Report Manager от 8.0.0.0 до 8.2.4.0 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager от 8.0.0.0 до 8.2.4.0 включительно | Прикладное ПО информационных систем Oracle Corp. Siebel CRM до 21.9 включительно | Сетевое средство, Сетевое программное средство Eclipse Foundation Jetty до 9.4.39 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Element Manager 8.2.2 | Программное средство защиты IBM Corp. IBM QRadar SIEM от 7.3 до 7.3.3 Fix Pack 12 | Программное средство защиты IBM Corp. IBM QRadar SIEM от 7.4 до 7.4.3 Fix Pack 6 | Программное средство защиты IBM Corp. IBM QRadar SIEM от 7.5 до 7.5.0 Update Pack 2 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.5 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.04.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению:
Использование рекомендаций:
Обновление программного обеспечения Eclipse Jetty до актуальной версии

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6614725

Для ОСОН Основа:
Обновление программного обеспечения jetty9 до версии 9.4.39+repack-3osnova1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-28163.

Тип ошибки CWE: CWE-59, CWE-200
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/eclipse/jetty.project/security/advisories/GHSA-j6qj-j888-vvgq
https://lists.apache.org/thread.html/r0841b06b48324cfc81325de3c05a92e53f997185f9d71ff47734d961@%3Cissues.solr.apache.org%3E
https://lists.apache.org/thread.html/r111f1ce28b133a8090ca4f809a1bdf18a777426fc058dc3a16c39c66@%3Cissues.solr.apache.org%3E
https://lists.apache.org/thread.html/r2ea2f0541121f17e470a0184843720046c59d4bde6d42bf5ca6fad81@%3Cissues.solr.apache.org%3E
https://lists.apache.org/thread.html/r4a66bfbf62281e31bc1345ebecbfd96f35199eecd77bfe4e903e906f@%3Cissues.ignite.apache.org%3E
https://lists.apache.org/thread.html/r4b1fef117bccc7f5fd4c45fd2cabc26838df823fe5ca94bc42a4fd46@%3Cissues.ignite.apache.org%3E
https://lists.apache.org/thread.html/r5b3693da7ecb8a75c0e930b4ca26a5f97aa0207d9dae4aa8cc65fe6b@%3Cissues.ignite.apache.org%3E
https://lists.apache.org/thread.html/r67c4f90658fde875521c949448c54c98517beecdc7f618f902c620ec@%3Cissues.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r6ac9e263129328c0db9940d72b4a6062e703c58918dd34bd22cdf8dd@%3Cissues.ignite.apache.org%3E
https://lists.apache.org/thread.html/r780c3c210a05c5bf7b4671303f46afc3fe56758e92864e1a5f0590d0@%3Cjira.kafka.apache.org%3E
https://lists.apache.org/thread.html/r787e47297a614b05b99d01b04c8a1d6c0cafb480c9cb7c624a6b8fc3@%3Cissues.solr.apache.org%3E
https://lists.apache.org/thread.html/r8a1a332899a1f92c8118b0895b144b27a78e3f25b9d58a34dd5eb084@%3Cnotifications.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/r9974f64723875052e02787b2a5eda689ac5247c71b827d455e5dc9a6@%3Cissues.solr.apache.org%3E
https://lists.apache.org/thread.html/rbc075a4ac85e7a8e47420b7383f16ffa0af3b792b8423584735f369f@%3Cissues.solr.apache.org%3E
https://lists.apache.org/thread.html/rbefa055282d52d6b58d29a79fbb0be65ab0a38d25f00bd29eaf5e6fd@%3Cnotifications.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/rd0471252aeb3384c3cfa6d131374646d4641b80dd313e7b476c47a9c@%3Cissues.solr.apache.org%3E
https://lists.apache.org/thread.html/rd7c8fb305a8637480dc943ba08424c8992dccad018cd1405eb2afe0e@%3Cdev.ignite.apache.org%3E
https://lists.apache.org/thread.html/rddbb4f8d5db23265bb63d14ef4b3723b438abc1589f877db11d35450@%3Cissues.zookeeper.apache.org%3E
https://lists.apache.org/thread.html/rf36f1114e84a3379b20587063686148e2d5a39abc0b8a66ff2a9087a@%3Cissues.zookeeper.apache.org%3E
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5CXQIJVYU4R3JL6LSPXQ5GIV7WLLA7PI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GGNKXBNRRCZTGGXPIX3VBWCF2SAM3DWS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HAAKW7S66TECXGJZWB3ZFGOQAK34IYHF/
https://security.netapp.com/advisory/ntap-20210611-0006/
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://safe-surf.ru/upload/VULN/VULN-20211206.4.pdf
https://www.ibm.com/support/pages/node/6614725
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *