Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01020

Опубликовано: 20 авг. 2019
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость класса BeanIntrospector утилиты Apache Commons Beanutils связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Oracle Corp.
Novell Inc.
Fedora Project
Сообщество свободного программного обеспечения
Apache Software Foundation
ООО «Ред Софт»
АО "НППКТ"

Наименование ПО

PeopleSoft Enterprise PeopleTools
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Module for Open Buildservice Development Tools
Suse Linux Enterprise Server
OpenSUSE Leap
Fedora
Debian GNU/Linux
SUSE Linux Enterprise Module for Web Scripting
Retail Customer Management and Segmentation Foundation
Retail Xstore Point of Service
SUSE Linux Enterprise High Performance Computing
Apache Commons Beanutils
Primavera Gateway
Database Server
РЕД ОС
ОСОН ОСнова Оnyx

Версия ПО

8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
12 SP4 (Suse Linux Enterprise Server)
15.0 (OpenSUSE Leap)
15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15.1 (OpenSUSE Leap)
30 (Fedora)
12 SP5 (Suse Linux Enterprise Server)
8 (Debian GNU/Linux)
15 (SUSE Linux Enterprise Module for Web Scripting)
15 SP1 (SUSE Linux Enterprise Module for Web Scripting)
31 (Fedora)
18.0 (Retail Customer Management and Segmentation Foundation)
7.1 (Retail Xstore Point of Service)
15.0 (Retail Xstore Point of Service)
16.0 (Retail Xstore Point of Service)
17.0 (Retail Xstore Point of Service)
18.0 (Retail Xstore Point of Service)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
до 1.9.3 включительно (Apache Commons Beanutils)
от 17.12.0 до 17.12.6 включительно (Primavera Gateway)
от 16.2.0 до 16.2.11 включительно (Primavera Gateway)
до 19.2.1 (Database Server)
7.3 (РЕД ОС)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем
Операционная система
СУБД

Операционные системы и аппаратные платформы

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Novell Inc. Suse Linux Enterprise Server 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Fedora Project Fedora 31
ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
Для программных продкутов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10086.html
Для Debian:
https://lists.debian.org/debian-lts-announce/2019/08/msg00030.html
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4APPGLBWMFAS4WHNLR4LIJ65DJGPV7TF/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения commons-beanutils до версии 1.9.4-1
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-apache-commons-beanutils-cve-2019-10086/?sphrase_id=1075909

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 54%
0.00317
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250630-10

CVSS3: 7.3
redos
около 1 месяца назад

Уязвимость apache-commons-beanutils

ubuntu логотип

CVE-2019-10086

CVSS3: 7.3
ubuntu
почти 6 лет назад

In Apache Commons Beanutils 1.9.2, a special BeanIntrospector class was added which allows suppressing the ability for an attacker to access the classloader via the class property available on all Java objects. We, however were not using this by default characteristic of the PropertyUtilsBean.

redhat логотип

CVE-2019-10086

CVSS3: 7.3
redhat
почти 6 лет назад

In Apache Commons Beanutils 1.9.2, a special BeanIntrospector class was added which allows suppressing the ability for an attacker to access the classloader via the class property available on all Java objects. We, however were not using this by default characteristic of the PropertyUtilsBean.

nvd логотип

CVE-2019-10086

CVSS3: 7.3
nvd
почти 6 лет назад

In Apache Commons Beanutils 1.9.2, a special BeanIntrospector class was added which allows suppressing the ability for an attacker to access the classloader via the class property available on all Java objects. We, however were not using this by default characteristic of the PropertyUtilsBean.

debian логотип

CVE-2019-10086

CVSS3: 7.3
debian
почти 6 лет назад

In Apache Commons Beanutils 1.9.2, a special BeanIntrospector class wa ...

EPSS

Процентиль: 54%
0.00317
Низкий

7.3 High

CVSS3

7.5 High

CVSS2