Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2020-02137

CVSS: 9.8

22.07.2019

Уязвимость функции initDocumentParser библиотеки планирования заданий Terracotta Quartz Scheduler, позволяющая нарушителю осуществить XXE-атаку

Уязвимость функции initDocumentParser (xml/XMLSchedulingDataProcessor.java) библиотеки планирования заданий Terracotta Quartz Scheduler связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить XXE-атаку

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	22.07.2019
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Quartz Scheduler: https://github.com/quartz-scheduler/quartz/issues/467 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-13990/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-13990 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html Для Astra Linux: Обновление программного обеспечения (пакета libquartz2-java) до 2.3.0-3 или более поздней версии Для ОСОН Основа: Обновление программного обеспечения libquartz2-java до версии 2.3.0-3

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-611	Некорректное ограничение ссылок на внешние сущности XML

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2019-13990	initDocumentParser in xml/XMLSchedulingDataProcessor.java in Terracotta Quartz Scheduler through 2.3.0 allows XXE attacks via...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
10	CRITICAL	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:C
9.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2019-13990

Вендор:	Oracle Corp. Red Hat Inc. ООО «РусБИТех-Астра» Novell Inc. Terracotta, Inc. АО "НППКТ"
Тип ПО:	Прикладное ПО информационных систем Сетевое программное средство ПО виртуализации/ПО виртуального программно-аппаратного средства Операционная система ПО программно-аппаратного средства
Наименование ПО:	Retail Back Office Retail Central Office Retail Returns Management Retail Point-of-Service Fusion Middleware MapViewer Primavera Unifier Red Hat Virtualization Oracle Retail Order Broker Astra Linux Common Edition Jboss Fuse Red Hat Process Automation Manager Red Hat Descision Manager SUSE Linux Enterprise Module for SUSE Manager Server SUSE Manager Server Banking Enterprise Product Manufacturing Oracle Banking Enterprise Originations Quartz Scheduler Enterprise Manager Ops Center Oracle Communications Session Route Manager Enterprise Manager Base Platform Hyperion Infrastructure Technology ОСОН ОСнова Оnyx
Версия ПО:	14.1 (Retail Back Office) 14.1 (Retail Central Office) 14.1 (Retail Returns Management) 14.1 (Retail Point-of-Service) 12.2.1.3.0 (Fusion Middleware MapViewer) 16.2 (Primavera Unifier) 16.1 (Primavera Unifier) 4 (Red Hat Virtualization) 15.0 (Oracle Retail Order Broker) 16.0 (Oracle Retail Order Broker) 2.12 «Орёл» (Astra Linux Common Edition) 7 (Jboss Fuse) 18.8 (Primavera Unifier) 7 (Red Hat Process Automation Manager) 7 (Red Hat Descision Manager) от 17.7 до 17.12 включительно (Primavera Unifier) 4.0 (SUSE Linux Enterprise Module for SUSE Manager Server) 3.2 (SUSE Manager Server) 18.0 (Oracle Retail Order Broker) 2.7.0 (Banking Enterprise Product Manufacturing) 2.8.0 (Banking Enterprise Product Manufacturing) 2.7.0 (Oracle Banking Enterprise Originations) 2.8.0 (Oracle Banking Enterprise Originations) до 2.3.2 (Quartz Scheduler) 19.0 (Oracle Retail Order Broker) 12.4.0.0 (Enterprise Manager Ops Center) от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager) 13.2.1.0 (Enterprise Manager Base Platform) 11.1.2.4 (Hyperion Infrastructure Technology) до 2.4.2 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:	Astra Linux Common Edition (2.12 «Орёл»)
Ссылки на источники:	https://nvd.nist.gov/vuln/detail/CVE-2019-13990 https://github.com/quartz-scheduler/quartz/issues/467 https://www.suse.com/security/cve/CVE-2019-13990/ https://access.redhat.com/security/cve/CVE-2019-13990 https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2020-02137