BDU:2020-04949: Уязвимость библиотеки jQuery, существующая из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option>, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

Описание уязвимости Уязвимость библиотеки jQuery существует из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option> в методы DOM jQuery. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки
Вендор Oracle Corp., Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, The jQuery Foundation, АО "НППКТ"
Наименование ПО Database, Red Hat Enterprise Linux, WebLogic Server, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Red Hat Virtualization, WebCenter Sites, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, OpenShift Container Platform, Jboss Fuse, Application Testing Suite, Fedora, Red Hat Ceph Storage, Red Hat Software Collections, Red Hat Single Sign-On, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), PeopleSoft Enterprise HCM Human Resources, Oracle Hospitality Materials Control, Oracle Healthcare Translational Research, Red Hat Storage, Oracle Communications Session Route Manager, Primavera Gateway, CloudForms Management Engine, Ansible Tower, Red Hat OpenStack Platform, Hyperion Financial Management, Openshift Service Mesh, Communications Billing and Revenue Management, Red Hat Virtualization Engine, jQuery, Oracle Banking Enterprise Collections, Communications WebRTC Session Controller, Enterprise Session Border Controller, Oracle Hospitality Simphony, A-MQ Interconnect, StorageTek Tape Analytics SW Tool, JD Edwards EnterpriseOne Orchestrator, JD Edwards EnterpriseOne Tools, Oracle Agile Product Lifecycle Management for Process, Transportation Management, Siebel Mobile Applications, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 11.2.0.4 (Database)
  • 12.1.0.1 (Database)
  • 12.1.0.2 (Database)
  • 7 (Red Hat Enterprise Linux)
  • 12.1.3.0.0 (WebLogic Server)
  • 18c (Database)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 4 (Red Hat Virtualization)
  • 12.2.1.3.0 (WebLogic Server)
  • 12.2.1.3.0 (WebCenter Sites)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 19c (Database)
  • 10.0 (Debian GNU/Linux)
  • 3.11 (OpenShift Container Platform)
  • 7 (Jboss Fuse)
  • 13.3.0.1 (Application Testing Suite)
  • 31 (Fedora)
  • 3 (Red Hat Ceph Storage)
  • - (Red Hat Software Collections)
  • 7 (Red Hat Single Sign-On)
  • 12.2.1.4.0 (WebLogic Server)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 9.2 (PeopleSoft Enterprise HCM Human Resources)
  • 18.1 (Oracle Hospitality Materials Control)
  • 3.2.1 (Oracle Healthcare Translational Research)
  • 3.3.1 (Oracle Healthcare Translational Research)
  • 32 (Fedora)
  • 3 (Red Hat Storage)
  • 8.1.1 (Oracle Communications Session Route Manager)
  • 8.2.0 (Oracle Communications Session Route Manager)
  • от 16.2.0 до 16.2.11 включительно (Primavera Gateway)
  • 4 (OpenShift Container Platform)
  • 5 (CloudForms Management Engine)
  • 3 (Ansible Tower)
  • 16 (Train) (Red Hat OpenStack Platform)
  • 11.1.2.4 (Hyperion Financial Management)
  • 15.2 (OpenSUSE Leap)
  • 1.1 (Openshift Service Mesh)
  • 4 (Red Hat Ceph Storage)
  • 8.2.1 (Oracle Communications Session Route Manager)
  • 14.1.1.0.0 (WebLogic Server)
  • от 17.12.0 до 17.12.7 включительно (Primavera Gateway)
  • от 18.8.0 до 18.8.9 включительно (Primavera Gateway)
  • от 19.12.0 до 19.12.4 включительно (Primavera Gateway)
  • 7.5.0.23.0 (Communications Billing and Revenue Management)
  • 12.0.0.3.0 (Communications Billing and Revenue Management)
  • 12.2.1.4.0 (WebCenter Sites)
  • 4.4 (Red Hat Virtualization Engine)
  • до 20.2 (Database)
  • от 1.0.3 до 3.5.0 (jQuery)
  • 33 (Fedora)
  • от 2.7.0 до 2.8.0 включительно (Oracle Banking Enterprise Collections)
  • 3.3.2 (Oracle Healthcare Translational Research)
  • 3.4.0 (Oracle Healthcare Translational Research)
  • 7.2 (Communications WebRTC Session Controller)
  • 8.4 (Enterprise Session Border Controller)
  • 18.1 (Oracle Hospitality Simphony)
  • 18.2 (Oracle Hospitality Simphony)
  • от 19.1.0 до 19.1.2 включительно (Oracle Hospitality Simphony)
  • 1.y for RHEL 6 (A-MQ Interconnect)
  • 1.y for RHEL 7 (A-MQ Interconnect)
  • 1.y for RHEL 8 (A-MQ Interconnect)
  • 4.5 (OpenShift Container Platform)
  • 2.3.1 (StorageTek Tape Analytics SW Tool)
  • до 9.2.5.0 (JD Edwards EnterpriseOne Orchestrator)
  • до 9.2.5.0 (JD Edwards EnterpriseOne Tools)
  • 6.1 (Oracle Agile Product Lifecycle Management for Process)
  • 1.4.3 (Transportation Management)
  • до 20.12 включительно (Siebel Mobile Applications)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО СУБД, Операционная система, Сетевое программное средство, ПО виртуализации/ПО виртуального программно-аппаратного средства, Программное средство защиты, Прикладное ПО информационных систем, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 29.04.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для jQuery:
https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/
https://jquery.com/upgrade-guide/3.5/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11023

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11023

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Astra Linux:
Использование рекомендаций производителя
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения jquery до версии 3.3.1~dfsg-3+deb10u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html
http://packetstormsecurity.com/files/162160/jQuery-1.0.3-Cross-Site-Scripting.html
https://access.redhat.com/security/cve/cve-2020-11023
https://blog.jquery.com/2020/04/10/jquery-3-5-0-released
https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/
https://jquery.com/upgrade-guide/3.5/
https://lists.apache.org/thread.html/r9006ad2abf81d02a0ef2126bab5177987e59095b7194a487c4ea247c@%3Ccommits.felix.apache.org%3E
https://lists.apache.org/thread.html/rab82dd040f302018c85bd07d33f5604113573514895ada523c3401d9@%3Ccommits.hive.apache.org%3E
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/
https://nvd.nist.gov/vuln/detail/CVE-2020-11023
https://security-tracker.debian.org/tracker/CVE-2020-11023
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения