Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05609

Опубликовано: 05 сент. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
АО "НППКТ"
Apache Software Foundation

Наименование ПО

Debian GNU/Linux
ОСОН ОСнова Оnyx
Cassandra
SnakeYAML

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
до 2.6 (ОСОН ОСнова Оnyx)
4.1.3 (Cassandra)
до 1.31 (SnakeYAML)

Тип ПО

Операционная система
СУБД
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для SnakeYAML:
https://bitbucket.org/snakeyaml/snakeyaml/commits/f3ab4e0f54c37ddb10f00b71d04187bb0ef1799c
https://bitbucket.org/snakeyaml/snakeyaml/commits/6aedd33a811f7347c5dae2940e75940966f59466
Для Debian:
https://lists.debian.org/debian-lts-announce/2022/10/msg00001.html
https://security-tracker.debian.org/tracker/CVE-2022-38751
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения snakeyaml до версии 1.23-1+deb10u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 38%
0.00168
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-38751

CVSS3: 6.5
ubuntu
больше 3 лет назад

Using snakeYAML to parse untrusted YAML files may be vulnerable to Denial of Service attacks (DOS). If the parser is running on user supplied input, an attacker may supply content that causes the parser to crash by stackoverflow.

redhat логотип

CVE-2022-38751

CVSS3: 6.5
redhat
больше 3 лет назад

Using snakeYAML to parse untrusted YAML files may be vulnerable to Denial of Service attacks (DOS). If the parser is running on user supplied input, an attacker may supply content that causes the parser to crash by stackoverflow.

nvd логотип

CVE-2022-38751

CVSS3: 6.5
nvd
больше 3 лет назад

Using snakeYAML to parse untrusted YAML files may be vulnerable to Denial of Service attacks (DOS). If the parser is running on user supplied input, an attacker may supply content that causes the parser to crash by stackoverflow.

msrc логотип

CVE-2022-38751

CVSS3: 6.5
msrc
4 месяца назад

DoS in SnakeYAML

debian логотип

CVE-2022-38751

CVSS3: 6.5
debian
больше 3 лет назад

Using snakeYAML to parse untrusted YAML files may be vulnerable to Den ...

EPSS

Процентиль: 38%
0.00168
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2