Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2022-06488

CVSS: 8.5

23.10.2021

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилегиями

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation связана с ошибками десериализации и возможностью внедрения кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с root-привилегиями

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	23.10.2021
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: Для XStream: - использование «белого» списка объектов для десериализуемых данных из недоверенных источников; - ограничение перечня обрабатываемых типов минимально необходимыми. Для VMware Cloud Foundation: - использование средств межсетевого экранирования для ограничения возможности загрузки недоверенных данных. Использование рекомендаций: Для XStream: https://x-stream.github.io/CVE-2021-39144.html Для программных продуктов VMware Inc.: https://www.vmware.com/security/advisories/VMSA-2022-0027.html Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpujul2022.html Для Debian GNU/Linux: https://www.debian.org/security/2021/dsa-5004 https://security-tracker.debian.org/tracker/CVE-2021-39144 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-39144

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-502	Десериализация недоверенных данных

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-39144	XStream is vulnerable to a Remote Command Execution attack

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.1	HIGH	2.0	AV:N/AC:H/Au:S/C:C/I:C/A:C
8.5	HIGH	3.0	AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2021-39144 VMSA-2022-0027

Вендор:	Red Hat Inc. Сообщество свободного программного обеспечения Oracle Corp. Fedora Project Xstream Project VMware Inc.
Тип ПО:	Операционная система Прикладное ПО информационных систем Сетевое программное средство
Наименование ПО:	Red Hat Enterprise Linux Jboss Fuse Debian GNU/Linux JBoss A-MQ Red Hat BPM Suite Communications BRM - Elastic Charging Engine Data Grid Red Hat Process Automation Fedora Red Hat Integration Camel K Red Hat Integration Camel Quarkus Oracle Business Activity Monitoring Oracle Retail Xstore Point of Service Red Hat CodeReady Studio Oracle WebCenter Portal XStream Communications Cloud Native Core Automated Test Suite Communications Cloud Native Core Policy VMware Cloud Foundation Decision Manager Commerce Guided Search Communications Cloud Native Core Binding Support Function
Версия ПО:	7 (Red Hat Enterprise Linux) 7 (Jboss Fuse) 10 (Debian GNU/Linux) 6.0 (JBoss A-MQ) 6 (Red Hat BPM Suite) 6 (Jboss Fuse) 11.3 (Communications BRM - Elastic Charging Engine) 12.0 (Communications BRM - Elastic Charging Engine) 8 (Data Grid) 7 (Red Hat Process Automation) 33 (Fedora) 34 (Fedora) - (Red Hat Integration Camel K) - (Red Hat Integration Camel Quarkus) 11 (Debian GNU/Linux) 35 (Fedora) 12.2.1.4.0 (Oracle Business Activity Monitoring) 16.0.6 (Oracle Retail Xstore Point of Service) 17.0.4 (Oracle Retail Xstore Point of Service) 18.0.3 (Oracle Retail Xstore Point of Service) 19.0.2 (Oracle Retail Xstore Point of Service) 12 (Red Hat CodeReady Studio) 12.2.1.3.0 (Oracle WebCenter Portal) 12.2.1.4.0 (Oracle WebCenter Portal) до 1.4.18 (XStream) 1.9.0 (Communications Cloud Native Core Automated Test Suite) 1.14.0 (Communications Cloud Native Core Policy) до KB 89809 (VMware Cloud Foundation) 7 (Decision Manager) 11.3.2 (Commerce Guided Search) 20.0.1 (Oracle Retail Xstore Point of Service) 1.10.0 (Communications Cloud Native Core Binding Support Function)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (7) Debian GNU/Linux (10) Fedora (33) Fedora (34) Debian GNU/Linux (11) Fedora (35)
Ссылки на источники:	https://x-stream.github.io/CVE-2021-39144.html https://www.vmware.com/security/advisories/VMSA-2022-0027.html https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpujul2022.html https://www.debian.org/security/2021/dsa-5004 https://security-tracker.debian.org/tracker/CVE-2021-39144 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5N... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWW... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BP... https://access.redhat.com/security/cve/CVE-2021-39144 http://packetstormsecurity.com/files/169859/VMware-NSX-Manager-XStream-Unauthenticated-Remote-Code-Execution.html https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2022-06488

BDU:2022-06488

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей