Идентификатор: BDU:2022-06488.
Наименование уязвимости: Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилегиями.
Описание уязвимости: Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation связана с ошибками десериализации и возможностью внедрения кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с root-привилегиями
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Прикладное ПО информационных систем Red Hat Inc. Jboss Fuse 7 | Операционная система Debian GNU/Linux 10 | Прикладное ПО информационных систем Red Hat Inc. JBoss A-MQ 6.0 | Прикладное ПО информационных систем Red Hat Inc. Red Hat BPM Suite 6 | Прикладное ПО информационных систем Red Hat Inc. Jboss Fuse 6 | Прикладное ПО информационных систем Oracle Corp. Communications BRM — Elastic Charging Engine 11.3 | Прикладное ПО информационных систем Oracle Corp. Communications BRM — Elastic Charging Engine 12.0 | Прикладное ПО информационных систем Red Hat Inc. Data Grid 8 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Process Automation 7 | Операционная система Fedora Project Fedora 33 | Операционная система Fedora Project Fedora 34 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Integration Camel K — | Прикладное ПО информационных систем Red Hat Inc. Red Hat Integration Camel Quarkus — | Операционная система Debian GNU/Linux 11 | Операционная система Fedora Project Fedora 35 | Прикладное ПО информационных систем Oracle Corp. Oracle Business Activity Monitoring 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 16.0.6 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 17.0.4 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 18.0.3 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 19.0.2 | Прикладное ПО информационных систем Red Hat Inc. Red Hat CodeReady Studio 12 | Прикладное ПО информационных систем Oracle Corp. Oracle WebCenter Portal 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Oracle WebCenter Portal 12.2.1.4.0 | Прикладное ПО информационных систем Xstream Project XStream до 1.4.18 | Прикладное ПО информационных систем Oracle Corp. Communications Cloud Native Core Automated Test Suite 1.9.0 | Прикладное ПО информационных систем Oracle Corp. Communications Cloud Native Core Policy 1.14.0 | Сетевое программное средство VMware Inc. VMware Cloud Foundation до KB 89809 | Прикладное ПО информационных систем Red Hat Inc. Decision Manager 7 | Прикладное ПО информационных систем Oracle Corp. Commerce Guided Search 11.3.2 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Xstore Point of Service 20.0.1 | Прикладное ПО информационных систем Oracle Corp. Communications Cloud Native Core Binding Support Function 1.10.0 |
Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 7 | Debian GNU/Linux 10 | Fedora 33 | Fedora 34 | Debian GNU/Linux 11 | Fedora 35 |
Дата выявления: 23.10.2021.
CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,5)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
Для XStream:
— использование «белого» списка объектов для десериализуемых данных из недоверенных источников;
— ограничение перечня обрабатываемых типов минимально необходимыми.
Для VMware Cloud Foundation:
— использование средств межсетевого экранирования для ограничения возможности загрузки недоверенных данных.
Использование рекомендаций:
Для XStream:
https://x-stream.github.io/CVE-2021-39144.html
Для программных продуктов VMware Inc.:
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5004
https://security-tracker.debian.org/tracker/CVE-2021-39144
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-39144.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-39144. VMSA-2022-0027.
Тип ошибки CWE: CWE-502
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://x-stream.github.io/CVE-2021-39144.html
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
https://www.debian.org/security/2021/dsa-5004
https://security-tracker.debian.org/tracker/CVE-2021-39144
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
https://access.redhat.com/security/cve/CVE-2021-39144
http://packetstormsecurity.com/files/169859/VMware-NSX-Manager-XStream-Unauthenticated-Remote-Code-Execution.html
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Зеркало площадки Кракен маркетплейс — это альтернативный адрес, который позволяет пользователям обойти блокировки основного сайта и безопасно получить доступ к платформе. Зеркала полностью повторяют функционал оригинального сайта, сохраняя все его возможности. Важно использовать проверенные зеркала, чтобы избежать попадания на фальшивые ресурсы, которые могут украсть ваши данные или подвергнуть вас риску фишинга.
Чтобы безопасно войти на Кракен через зеркало, рекомендуется использовать Tor браузер, который гарантирует анонимность и защиту при доступе к Даркнету. Вставив актуальную ссылку на зеркало в адресную строку Tor, вы получите защищённый доступ к маркетплейсу и сможете пользоваться всеми его функциями без риска для своей конфиденциальности.
