BDU:2023-05608

Опубликовано: 05 сент. 2022

Источник: fstec

CVSS3: 6.5

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

АО "НППКТ"

Apache Software Foundation

Наименование ПО

Jboss Fuse

Debian GNU/Linux

OpenShift Application Runtimes

Red Hat Single Sign-On

Red Hat AMQ Broker

A-MQ Clients

Data Grid

Red Hat Integration Camel K

Red Hat Integration Camel Quarkus

OpenShift Developer Tools and Services

Red Hat Integration Camel for Spring Boot

ОСОН ОСнова Оnyx

Red Hat JBoss A-MQ Streams

Cassandra

SnakeYAML

OpenShift Dev Spaces

Red Hat Satellite

Версия ПО

7 (Jboss Fuse)

10 (Debian GNU/Linux)

- (OpenShift Application Runtimes)

7 (Red Hat Single Sign-On)

7 (Red Hat AMQ Broker)

2 (A-MQ Clients)

8 (Data Grid)

- (Red Hat Integration Camel K)

- (Red Hat Integration Camel Quarkus)

11 (Debian GNU/Linux)

- (OpenShift Developer Tools and Services)

- (Red Hat Integration Camel for Spring Boot)

до 2.6 (ОСОН ОСнова Оnyx)

7.6 (Red Hat Single Sign-On)

- (Red Hat JBoss A-MQ Streams)

4.1.3 (Cassandra)

до 1.31 (SnakeYAML)

- (OpenShift Dev Spaces)

6.13 for RHEL 8 (Red Hat Satellite)

Тип ПО

Прикладное ПО информационных систем

Операционная система

Сетевое программное средство

СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование антивирусных средств защиты;

- мониторинг действий пользователей;

- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;

- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:

Для SnakeYAML:

https://bitbucket.org/snakeyaml/snakeyaml/commits/fc300780da21f4bb92c148bc90257201220cf174

https://bitbucket.org/snakeyaml/snakeyaml/issues/525

https://github.com/snakeyaml/snakeyaml/commit/fc300780da21f4bb92c148bc90257201220cf174

Для Debian:

https://lists.debian.org/debian-lts-announce/2022/10/msg00001.html

https://security-tracker.debian.org/tracker/CVE-2022-38749

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2022-38749

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения snakeyaml до версии 1.23-1+deb10u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-38749
CVE

EPSS

Процентиль: 68%

0.00559

Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2022-38749

CVSS3: 6.5

ubuntu

больше 3 лет назад

Using snakeYAML to parse untrusted YAML files may be vulnerable to Denial of Service attacks (DOS). If the parser is running on user supplied input, an attacker may supply content that causes the parser to crash by stackoverflow.

CVE-2022-38749

CVSS3: 6.5

redhat

больше 3 лет назад

CVE-2022-38749

CVSS3: 6.5

nvd

больше 3 лет назад

CVE-2022-38749

CVSS3: 6.5

msrc

4 месяца назад

DoS in SnakeYAML

CVE-2022-38749

CVSS3: 6.5

debian

больше 3 лет назад

Using snakeYAML to parse untrusted YAML files may be vulnerable to Den ...

EPSS

Процентиль: 68%

0.00559

Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2