Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2017-5929

Опубликовано: 08 фев. 2017
Источник: redhat
CVSS3: 5.5
EPSS Средний

Описание

QOS.ch Logback before 1.2.0 has a serialization vulnerability affecting the SocketServer and ServerSocketReceiver components.

It was found that logback is vulnerable to a deserialization issue. Logback can be configured to allow remote logging through SocketServer/ServerSocketReceiver interfaces that can accept untrusted serialized data. Authenticated attackers on the adjacent network can leverage this vulnerability to execute arbitrary code through deserialization of custom gadget chains.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat JBoss Fuse 6camelAffected
Red Hat JBoss Fuse Integration Service 2logback-classicAffected
Red Hat Subscription Asset Managerlogback-coreWill not fix
Red Hat Fuse 7.6.0logback-coreFixedRHSA-2020:098326.03.2020
Red Hat JBoss A-MQ 6.3FixedRHSA-2017:183210.08.2017
Red Hat JBoss BPMS 6.4logback-coreFixedRHSA-2017:167504.07.2017
Red Hat JBoss BRMS 6.4logback-coreFixedRHSA-2017:167604.07.2017
Red Hat JBoss Fuse 6.3FixedRHSA-2017:183210.08.2017
Red Hat Satellite 6.4 for RHEL 7ansiblerole-insights-clientFixedRHSA-2018:292716.10.2018
Red Hat Satellite 6.4 for RHEL 7candlepinFixedRHSA-2018:292716.10.2018

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-502
https://bugzilla.redhat.com/show_bug.cgi?id=1432858logback: Serialization vulnerability in SocketServer and ServerSocketReceiver

EPSS

Процентиль: 94%
0.13693
Средний

5.5 Medium

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2017-5929

CVSS3: 9.8
ubuntu
почти 9 лет назад

QOS.ch Logback before 1.2.0 has a serialization vulnerability affecting the SocketServer and ServerSocketReceiver components.

nvd логотип

CVE-2017-5929

CVSS3: 9.8
nvd
почти 9 лет назад

QOS.ch Logback before 1.2.0 has a serialization vulnerability affecting the SocketServer and ServerSocketReceiver components.

debian логотип

CVE-2017-5929

CVSS3: 9.8
debian
почти 9 лет назад

QOS.ch Logback before 1.2.0 has a serialization vulnerability affectin ...

github логотип

GHSA-vmfg-rjjm-rjrj

CVSS3: 9.8
github
больше 4 лет назад

QOS.ch Logback vulnerable to Deserialization of Untrusted Data

fstec логотип

BDU:2020-01666

CVSS3: 9.8
fstec
почти 9 лет назад

Уязвимость класса logback-core в файле QOS.ch библиотеки Jackson-databind, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 94%
0.13693
Средний

5.5 Medium

CVSS3

Уязвимость CVE-2017-5929