Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02651

Опубликовано: 06 нояб. 2015
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость библиотеки Apache Commons Collections (ACC) связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды при помощи специально сформированного сериализованного Java-объекта

Вендор

Red Hat Inc.
Oracle Corp.

Наименование ПО

OpenShift
JBoss Enterprise Application Platform
xPAAS
JBoss A-MQ
Jboss SOA Platform
Jboss Fuse Service Works
Subscription Asset Manager
Jboss Portal
Jboss Operations Network
Jboss Fuse
Jboss Web Server
Jboss BRMS
Jboss BPM Suite
Data Grid
Identity Manager
Retail Xstore Point of Service
Oracle Retail Clearance Optimization Engine
Communications Performance Intelligence Center (PIC) Software
Rapid Planning
Identity Manager Connector
Tape Library ACSLS
Communications Application Session Controller

Версия ПО

от 3.0 (OpenShift)
от 5.0 (JBoss Enterprise Application Platform)
от 6.0 (JBoss Enterprise Application Platform)
от 3.0 (xPAAS)
от 6.0 (JBoss A-MQ)
от 4.3.0 (JBoss Enterprise Application Platform)
от 5.0 (Jboss SOA Platform)
от 6.0 (Jboss Fuse Service Works)
1.3 (Subscription Asset Manager)
от 6.0 (Jboss Portal)
от 3.0 (Jboss Operations Network)
от 6.0 (Jboss Fuse)
от 3.0 (Jboss Web Server)
от 5.0 (Jboss BRMS)
от 6.0 (Jboss BRMS)
от 6.0 (Jboss BPM Suite)
от 6.0 (Data Grid)
11.1.2.3.0 (Identity Manager)
7.0 (Retail Xstore Point of Service)
7.1 (Retail Xstore Point of Service)
14.0 (Oracle Retail Clearance Optimization Engine)
до 10.2.1 (Communications Performance Intelligence Center (PIC) Software)
12.1 (Rapid Planning)
12.2 (Rapid Planning)
9.0.4.20.6 (Identity Manager Connector)
9.0.4.21.0 (Identity Manager Connector)
9.0.4.25.4 (Identity Manager Connector)
до 8.4.0-3 (Tape Library ACSLS)
до 3.7.1M0 (Communications Application Session Controller)
13.2 (Oracle Retail Clearance Optimization Engine)
13.3 (Oracle Retail Clearance Optimization Engine)
13.4 (Oracle Retail Clearance Optimization Engine)
5.0 (Retail Xstore Point of Service)
5.5 (Retail Xstore Point of Service)
6.0 (Retail Xstore Point of Service)
6.5 (Retail Xstore Point of Service)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://access.redhat.com/security/vulnerabilities/2059393
Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2018.html
https://www.oracle.com/security-alerts/cpujul2018.html
https://www.oracle.com/security-alerts/cpujan2018.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2016.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.71461
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2015-7501

CVSS3: 9.8
ubuntu
почти 8 лет назад

Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x and 5.x; Data Grid (JDG) 6.x; Data Virtualization (JDV) 6.x and 5.x; Enterprise Application Platform 6.x, 5.x, and 4.3.x; Fuse 6.x; Fuse Service Works (FSW) 6.x; Operations Network (JBoss ON) 3.x; Portal 6.x; SOA Platform (SOA-P) 5.x; Web Server (JWS) 3.x; Red Hat OpenShift/xPAAS 3.x; and Red Hat Subscription Asset Manager 1.3 allow remote attackers to execute arbitrary commands via a crafted serialized Java object, related to the Apache Commons Collections (ACC) library.

redhat логотип

CVE-2015-7501

redhat
почти 10 лет назад

Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x and 5.x; Data Grid (JDG) 6.x; Data Virtualization (JDV) 6.x and 5.x; Enterprise Application Platform 6.x, 5.x, and 4.3.x; Fuse 6.x; Fuse Service Works (FSW) 6.x; Operations Network (JBoss ON) 3.x; Portal 6.x; SOA Platform (SOA-P) 5.x; Web Server (JWS) 3.x; Red Hat OpenShift/xPAAS 3.x; and Red Hat Subscription Asset Manager 1.3 allow remote attackers to execute arbitrary commands via a crafted serialized Java object, related to the Apache Commons Collections (ACC) library.

nvd логотип

CVE-2015-7501

CVSS3: 9.8
nvd
почти 8 лет назад

Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x and 5.x; Data Grid (JDG) 6.x; Data Virtualization (JDV) 6.x and 5.x; Enterprise Application Platform 6.x, 5.x, and 4.3.x; Fuse 6.x; Fuse Service Works (FSW) 6.x; Operations Network (JBoss ON) 3.x; Portal 6.x; SOA Platform (SOA-P) 5.x; Web Server (JWS) 3.x; Red Hat OpenShift/xPAAS 3.x; and Red Hat Subscription Asset Manager 1.3 allow remote attackers to execute arbitrary commands via a crafted serialized Java object, related to the Apache Commons Collections (ACC) library.

debian логотип

CVE-2015-7501

CVSS3: 9.8
debian
почти 8 лет назад

Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x and 5.x; Data G ...

github логотип

GHSA-fjq5-5j5f-mvxh

CVSS3: 9.8
github
больше 3 лет назад

Deserialization of Untrusted Data in Apache commons collections

EPSS

Процентиль: 99%
0.71461
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2