BDU:2019-02913: Уязвимость плагина IcedTea-Web, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю внедрить произвольный код в JAR-файл

Описание уязвимости Уязвимость плагина IcedTea-Web связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить произвольный код в JAR-файл
Вендор Red Hat Inc., Novell Inc., Icetea-web Project, АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, SUSE Linux Enterprise Module for Open Buildservice Development Tools, OpenSUSE Leap, SUSE Linux Enterprise Workstation Extension, IcedTea-Web, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15 (SUSE Linux Enterprise Workstation Extension)
  • до 1.7.2 включительно (IcedTea-Web)
  • 1.8.2 (IcedTea-Web)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Недостаточная проверка подлинности данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 31.07.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для IcedTea-Web:
Обновление программного обеспечения до актуальной версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-10181

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10181/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения icedtea-web до версии 1.8.8-1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения