Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-04949: Уязвимость библиотеки jQuery, существующая из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option>, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

Описание уязвимости	Уязвимость библиотеки jQuery существует из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option> в методы DOM jQuery. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки
Вендор	Oracle Corp., Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, The jQuery Foundation, АО "НППКТ"
Наименование ПО	Database, Red Hat Enterprise Linux, WebLogic Server, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Red Hat Virtualization, WebCenter Sites, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, OpenShift Container Platform, Jboss Fuse, Application Testing Suite, Fedora, Red Hat Ceph Storage, Red Hat Software Collections, Red Hat Single Sign-On, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), PeopleSoft Enterprise HCM Human Resources, Oracle Hospitality Materials Control, Oracle Healthcare Translational Research, Red Hat Storage, Oracle Communications Session Route Manager, Primavera Gateway, CloudForms Management Engine, Ansible Tower, Red Hat OpenStack Platform, Hyperion Financial Management, Openshift Service Mesh, Communications Billing and Revenue Management, Red Hat Virtualization Engine, jQuery, Oracle Banking Enterprise Collections, Communications WebRTC Session Controller, Enterprise Session Border Controller, Oracle Hospitality Simphony, A-MQ Interconnect, StorageTek Tape Analytics SW Tool, JD Edwards EnterpriseOne Orchestrator, JD Edwards EnterpriseOne Tools, Oracle Agile Product Lifecycle Management for Process, Transportation Management, Siebel Mobile Applications, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	11.2.0.4 (Database) 12.1.0.1 (Database) 12.1.0.2 (Database) 7 (Red Hat Enterprise Linux) 12.1.3.0.0 (WebLogic Server) 18c (Database) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 4 (Red Hat Virtualization) 12.2.1.3.0 (WebLogic Server) 12.2.1.3.0 (WebCenter Sites) 2.12 «Орёл» (Astra Linux Common Edition) 8 (Red Hat Enterprise Linux) 15.1 (OpenSUSE Leap) 19c (Database) 10.0 (Debian GNU/Linux) 3.11 (OpenShift Container Platform) 7 (Jboss Fuse) 13.3.0.1 (Application Testing Suite) 31 (Fedora) 3 (Red Hat Ceph Storage) - (Red Hat Software Collections) 7 (Red Hat Single Sign-On) 12.2.1.4.0 (WebLogic Server) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 9.2 (PeopleSoft Enterprise HCM Human Resources) 18.1 (Oracle Hospitality Materials Control) 3.2.1 (Oracle Healthcare Translational Research) 3.3.1 (Oracle Healthcare Translational Research) 32 (Fedora) 3 (Red Hat Storage) 8.1.1 (Oracle Communications Session Route Manager) 8.2.0 (Oracle Communications Session Route Manager) от 16.2.0 до 16.2.11 включительно (Primavera Gateway) 4 (OpenShift Container Platform) 5 (CloudForms Management Engine) 3 (Ansible Tower) 16 (Train) (Red Hat OpenStack Platform) 11.1.2.4 (Hyperion Financial Management) 15.2 (OpenSUSE Leap) 1.1 (Openshift Service Mesh) 4 (Red Hat Ceph Storage) 8.2.1 (Oracle Communications Session Route Manager) 14.1.1.0.0 (WebLogic Server) от 17.12.0 до 17.12.7 включительно (Primavera Gateway) от 18.8.0 до 18.8.9 включительно (Primavera Gateway) от 19.12.0 до 19.12.4 включительно (Primavera Gateway) 7.5.0.23.0 (Communications Billing and Revenue Management) 12.0.0.3.0 (Communications Billing and Revenue Management) 12.2.1.4.0 (WebCenter Sites) 4.4 (Red Hat Virtualization Engine) до 20.2 (Database) от 1.0.3 до 3.5.0 (jQuery) 33 (Fedora) от 2.7.0 до 2.8.0 включительно (Oracle Banking Enterprise Collections) 3.3.2 (Oracle Healthcare Translational Research) 3.4.0 (Oracle Healthcare Translational Research) 7.2 (Communications WebRTC Session Controller) 8.4 (Enterprise Session Border Controller) 18.1 (Oracle Hospitality Simphony) 18.2 (Oracle Hospitality Simphony) от 19.1.0 до 19.1.2 включительно (Oracle Hospitality Simphony) 1.y for RHEL 6 (A-MQ Interconnect) 1.y for RHEL 7 (A-MQ Interconnect) 1.y for RHEL 8 (A-MQ Interconnect) 4.5 (OpenShift Container Platform) 2.3.1 (StorageTek Tape Analytics SW Tool) до 9.2.5.0 (JD Edwards EnterpriseOne Orchestrator) до 9.2.5.0 (JD Edwards EnterpriseOne Tools) 6.1 (Oracle Agile Product Lifecycle Management for Process) 1.4.3 (Transportation Management) до 20.12 включительно (Siebel Mobile Applications) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО	СУБД, Операционная система, Сетевое программное средство, ПО виртуализации/ПО виртуального программно-аппаратного средства, Программное средство защиты, Прикладное ПО информационных систем, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 IA-32 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.1 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Fedora Project Fedora 31 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Fedora Project Fedora 32 Novell Inc. OpenSUSE Leap 15.2 Fedora Project Fedora 33 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369)
Тип ошибки	Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)
Идентификатор типа ошибки	CWE-79
Класс уязвимости	Уязвимость кода
Дата выявления	29.04.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для jQuery: https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/ https://jquery.com/upgrade-guide/3.5/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/ Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-11023 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-11023 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html Для Astra Linux: Использование рекомендаций производителя https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОСОН Основа: Обновление программного обеспечения jquery до версии 3.3.1~dfsg-3+deb10u1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html http://packetstormsecurity.com/files/162160/jQuery-1.0.3-Cross-Site-Scripting.html https://access.redhat.com/security/cve/cve-2020-11023 https://blog.jquery.com/2020/04/10/jquery-3-5-0-released https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/ https://jquery.com/upgrade-guide/3.5/ https://lists.apache.org/thread.html/r9006ad2abf81d02a0ef2126bab5177987e59095b7194a487c4ea247c@%3Ccommits.felix.apache.org%3E https://lists.apache.org/thread.html/rab82dd040f302018c85bd07d33f5604113573514895ada523c3401d9@%3Ccommits.hive.apache.org%3E https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/ https://nvd.nist.gov/vuln/detail/CVE-2020-11023 https://security-tracker.debian.org/tracker/CVE-2020-11023 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-11023
Прочая информация	Данные уточняются

Последние изменения