Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05627

Опубликовано: 21 дек. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
АО "НППКТ"
Xstream Project

Наименование ПО

OpenShift Container Platform
Jboss Fuse
JBoss Data Grid
Red Hat Single Sign-On
JBoss Enterprise Application Platform
Red Hat Process Automation
Red Hat build of Quarkus
Red Hat Integration Camel K
Red Hat Integration Service Registry
Red Hat Integration Camel Quarkus
Red Hat Data Grid
Decision Manager
OpenShift Developer Tools and Services
Red Hat Integration Camel for Spring Boot
ОСОН ОСнова Оnyx
Keycloak
XStream
Jboss Fuse Service Works
Migration Toolkit for Runtimes
Migration Toolkit for Applications

Версия ПО

3.11 (OpenShift Container Platform)
7 (Jboss Fuse)
7 (JBoss Data Grid)
7 (Red Hat Single Sign-On)
6 (JBoss Enterprise Application Platform)
7 (Red Hat Process Automation)
- (Red Hat build of Quarkus)
- (Red Hat Integration Camel K)
- (Red Hat Integration Service Registry)
- (Red Hat Integration Camel Quarkus)
8 (Red Hat Data Grid)
4.10 (OpenShift Container Platform)
7 (Decision Manager)
- (OpenShift Developer Tools and Services)
- (Red Hat Integration Camel for Spring Boot)
до 2.7 (ОСОН ОСнова Оnyx)
22.0.1 (Keycloak)
до 1.4.20 (XStream)
6 (Jboss Fuse Service Works)
1 (Migration Toolkit for Runtimes)
6.1 (Migration Toolkit for Applications)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
Операционная система

Операционные системы и аппаратные платформы

АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для XStream:
https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpv
https://x-stream.github.io/CVE-2022-41966.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-41966
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libxstream-java до версии 1.4.11.1-1+deb10u4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 89%
0.04274
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-41966

CVSS3: 8.2
ubuntu
около 3 лет назад

XStream serializes Java objects to XML and back again. Versions prior to 1.4.20 may allow a remote attacker to terminate the application with a stack overflow error, resulting in a denial of service only via manipulation the processed input stream. The attack uses the hash code implementation for collections and maps to force recursive hash calculation causing a stack overflow. This issue is patched in version 1.4.20 which handles the stack overflow and raises an InputManipulationException instead. A potential workaround for users who only use HashMap or HashSet and whose XML refers these only as default map or set, is to change the default implementation of java.util.Map and java.util per the code example in the referenced advisory. However, this implies that your application does not care about the implementation of the map and all elements are comparable.

redhat логотип

CVE-2022-41966

CVSS3: 7.5
redhat
около 3 лет назад

XStream serializes Java objects to XML and back again. Versions prior to 1.4.20 may allow a remote attacker to terminate the application with a stack overflow error, resulting in a denial of service only via manipulation the processed input stream. The attack uses the hash code implementation for collections and maps to force recursive hash calculation causing a stack overflow. This issue is patched in version 1.4.20 which handles the stack overflow and raises an InputManipulationException instead. A potential workaround for users who only use HashMap or HashSet and whose XML refers these only as default map or set, is to change the default implementation of java.util.Map and java.util per the code example in the referenced advisory. However, this implies that your application does not care about the implementation of the map and all elements are comparable.

nvd логотип

CVE-2022-41966

CVSS3: 8.2
nvd
около 3 лет назад

XStream serializes Java objects to XML and back again. Versions prior to 1.4.20 may allow a remote attacker to terminate the application with a stack overflow error, resulting in a denial of service only via manipulation the processed input stream. The attack uses the hash code implementation for collections and maps to force recursive hash calculation causing a stack overflow. This issue is patched in version 1.4.20 which handles the stack overflow and raises an InputManipulationException instead. A potential workaround for users who only use HashMap or HashSet and whose XML refers these only as default map or set, is to change the default implementation of java.util.Map and java.util per the code example in the referenced advisory. However, this implies that your application does not care about the implementation of the map and all elements are comparable.

debian логотип

CVE-2022-41966

CVSS3: 8.2
debian
около 3 лет назад

XStream serializes Java objects to XML and back again. Versions prior ...

github логотип

GHSA-j563-grx4-pjpv

CVSS3: 8.2
github
около 3 лет назад

XStream can cause Denial of Service via stack overflow

EPSS

Процентиль: 89%
0.04274
Низкий

7.5 High

CVSS3

7.8 High

CVSS2