Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06488

Опубликовано: 23 окт. 2021
Источник: fstec
CVSS3: 8.5
CVSS2: 7.1
EPSS Критический

Описание

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation связана с ошибками десериализации и возможностью внедрения кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с root-привилегиями

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Oracle Corp.
Fedora Project
Xstream Project
VMware Inc.

Наименование ПО

Red Hat Enterprise Linux
Jboss Fuse
Debian GNU/Linux
JBoss A-MQ
Red Hat BPM Suite
Communications BRM - Elastic Charging Engine
Data Grid
Red Hat Process Automation
Fedora
Red Hat Integration Camel K
Red Hat Integration Camel Quarkus
Oracle Business Activity Monitoring
Oracle Retail Xstore Point of Service
Red Hat CodeReady Studio
Oracle WebCenter Portal
XStream
Communications Cloud Native Core Automated Test Suite
Communications Cloud Native Core Policy
VMware Cloud Foundation
Decision Manager
Commerce Guided Search
Communications Cloud Native Core Binding Support Function

Версия ПО

7 (Red Hat Enterprise Linux)
7 (Jboss Fuse)
10 (Debian GNU/Linux)
6.0 (JBoss A-MQ)
6 (Red Hat BPM Suite)
6 (Jboss Fuse)
11.3 (Communications BRM - Elastic Charging Engine)
12.0 (Communications BRM - Elastic Charging Engine)
8 (Data Grid)
7 (Red Hat Process Automation)
33 (Fedora)
34 (Fedora)
- (Red Hat Integration Camel K)
- (Red Hat Integration Camel Quarkus)
11 (Debian GNU/Linux)
35 (Fedora)
12.2.1.4.0 (Oracle Business Activity Monitoring)
16.0.6 (Oracle Retail Xstore Point of Service)
17.0.4 (Oracle Retail Xstore Point of Service)
18.0.3 (Oracle Retail Xstore Point of Service)
19.0.2 (Oracle Retail Xstore Point of Service)
12 (Red Hat CodeReady Studio)
12.2.1.3.0 (Oracle WebCenter Portal)
12.2.1.4.0 (Oracle WebCenter Portal)
до 1.4.18 (XStream)
1.9.0 (Communications Cloud Native Core Automated Test Suite)
1.14.0 (Communications Cloud Native Core Policy)
до KB 89809 (VMware Cloud Foundation)
7 (Decision Manager)
11.3.2 (Commerce Guided Search)
20.0.1 (Oracle Retail Xstore Point of Service)
1.10.0 (Communications Cloud Native Core Binding Support Function)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 33
Fedora Project Fedora 34
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
Для XStream:
- использование «белого» списка объектов для десериализуемых данных из недоверенных источников;
- ограничение перечня обрабатываемых типов минимально необходимыми.
Для VMware Cloud Foundation:
- использование средств межсетевого экранирования для ограничения возможности загрузки недоверенных данных.
Использование рекомендаций:
Для XStream:
https://x-stream.github.io/CVE-2021-39144.html
Для программных продуктов VMware Inc.:
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5004
https://security-tracker.debian.org/tracker/CVE-2021-39144
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-39144

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94412
Критический

8.5 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-39144

CVSS3: 8.5
ubuntu
около 4 лет назад

XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker has sufficient rights to execute commands of the host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.

redhat логотип

CVE-2021-39144

CVSS3: 8.5
redhat
около 4 лет назад

XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker has sufficient rights to execute commands of the host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.

nvd логотип

CVE-2021-39144

CVSS3: 8.5
nvd
около 4 лет назад

XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker has sufficient rights to execute commands of the host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.

debian логотип

CVE-2021-39144

CVSS3: 8.5
debian
около 4 лет назад

XStream is a simple library to serialize objects to XML and back again ...

github логотип

GHSA-j9h8-phrw-h4fh

CVSS3: 8.5
github
около 4 лет назад

XStream is vulnerable to a Remote Command Execution attack

EPSS

Процентиль: 100%
0.94412
Критический

8.5 High

CVSS3

7.1 High

CVSS2