Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08465

Опубликовано: 16 сент. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость библиотеки woodstox связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
Canonical Ltd.
Xstream Project
SonarSource
FasterXML, LLC

Наименование ПО

Red Hat Enterprise Linux
Red Hat JBoss Fuse
Debian GNU/Linux
openSUSE Tumbleweed
Red Hat OpenStack Platform
Red Hat JBoss Data Virtualization
Red Hat JBoss Data Grid
Red Hat build of Quarkus
Red Hat Integration Camel K
Red Hat Data Grid
Red Hat JBoss Fuse Service Works
SUSE Manager Server
Red Hat OpenShift Container Platform
Red Hat Satellite
Decision Manager
Ubuntu
Migration Toolkit for Runtimes
Red Hat JBoss Enterprise Application Platform
XStream
SonarQube
woodstox
Red Hat Integration Camel Quarkus
Red Hat Integration Camel for Spring Boot
Red Hat Integration Service Registry
Red Hat Process Automation Manager
OpenShift Developer Tools and Services for OCP

Версия ПО

7 (Red Hat Enterprise Linux)
7 (Red Hat JBoss Fuse)
10 (Debian GNU/Linux)
6 (Red Hat JBoss Fuse)
- (openSUSE Tumbleweed)
13.0 (Queens) (Red Hat OpenStack Platform)
6 (Red Hat JBoss Data Virtualization)
7 (Red Hat JBoss Data Grid)
- (Red Hat build of Quarkus)
- (Red Hat Integration Camel K)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
8 (Red Hat Data Grid)
6 (Red Hat JBoss Fuse Service Works)
4.2 (SUSE Manager Server)
4 (Red Hat OpenShift Container Platform)
6 (Red Hat Satellite)
4.3 (SUSE Manager Server)
7 (Decision Manager)
22.10 (Ubuntu)
- (Migration Toolkit for Runtimes)
7 (Red Hat JBoss Enterprise Application Platform)
до 1.4.19 включительно (XStream)
9.3.3 (SonarQube)
до 5.4.0 (woodstox)
от 6.0.0 до 6.4.0 (woodstox)
2.13.2 (Red Hat Integration Camel Quarkus)
3.20.1 (Red Hat Integration Camel for Spring Boot)
2.4.3 GA (Red Hat Integration Service Registry)
7.13.4 (Red Hat Process Automation Manager)
6 (Red Hat JBoss Enterprise Application Platform)
4.13 (OpenShift Developer Tools and Services for OCP)
7.4 for RHEL 8 (Red Hat JBoss Enterprise Application Platform)
7.4 for RHEL 9 (Red Hat JBoss Enterprise Application Platform)
7.4 on RHEL 7 (Red Hat JBoss Enterprise Application Platform)
3.18.3.P2 (Red Hat Integration Camel for Spring Boot)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО программно-аппаратного средства
Сетевое средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Canonical Ltd. Ubuntu 22.10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Xstream Project:
https://github.com/x-stream/xstream/issues/304
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40152
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-40152
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-40152
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-40152.html
Для woodstox:
Обновление программного обеспечения до версий 6.4.0, 5.4.0 и выше
Для программных продуктов SonarSource
Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 73%
0.00762
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-40152

CVSS3: 6.5
ubuntu
больше 3 лет назад

Those using Woodstox to parse XML data may be vulnerable to Denial of Service attacks (DOS) if DTD support is enabled. If the parser is running on user supplied input, an attacker may supply content that causes the parser to crash by stackoverflow. This effect may support a denial of service attack.

redhat логотип

CVE-2022-40152

CVSS3: 7.5
redhat
больше 3 лет назад

Those using Woodstox to parse XML data may be vulnerable to Denial of Service attacks (DOS) if DTD support is enabled. If the parser is running on user supplied input, an attacker may supply content that causes the parser to crash by stackoverflow. This effect may support a denial of service attack.

nvd логотип

CVE-2022-40152

CVSS3: 6.5
nvd
больше 3 лет назад

Those using Woodstox to parse XML data may be vulnerable to Denial of Service attacks (DOS) if DTD support is enabled. If the parser is running on user supplied input, an attacker may supply content that causes the parser to crash by stackoverflow. This effect may support a denial of service attack.

debian логотип

CVE-2022-40152

CVSS3: 6.5
debian
больше 3 лет назад

Those using Woodstox to parse XML data may be vulnerable to Denial of ...

github логотип

GHSA-3f7h-mf4q-vrm4

CVSS3: 6.5
github
больше 3 лет назад

Denial of Service due to parser crash

EPSS

Процентиль: 73%
0.00762
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2