Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00013: Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вы-полнить произвольный код
Вендор	Сообщество свободного программного обеспечения, Wazuh, Inc, OpenSearch, Apache Software Foundation
Наименование ПО	SnakeYAML, Wazuh, Logstash, Cassandra
Версия ПО	1.30 (SnakeYAML) 4.4.5 (Wazuh) 8.9.0 (Logstash) 4.1.3 (Cassandra)
Тип ПО	Прикладное ПО информационных систем, СУБД
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Недостаточная проверка вводимых данных, Восстановление в памяти недостоверных данных
Идентификатор типа ошибки	CWE-20 CWE-502
Класс уязвимости	Уязвимость кода
Дата выявления	11.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://github.com/google/security-research/security/advisories/GHSA-mjmj-j48q-9wg2 Компенсирующие меры: - использование SafeConsturctor SnakeYaml для ограничения десериализации; - создание черных списков классов, которые могут быть созданы с использованием SnakeYAML; - использование антивирусных средств защиты; - мониторинг действий пользователей; - запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе; - применение систем обнаружения и предотвращения вторжений
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2022-1471 https://github.com/google/security-research/security/advisories/GHSA-mjmj-j48q-9wg2 https://bitbucket.org/snakeyaml/snakeyaml/issues/561/cve-2022-1471-vulnerability-in#comment-64581479 https://github.com/mbechler/marshalsec https://github.com/google/security-research/security/advisories/GHSA-mjmj-j48q-9wg2
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-1471
Прочая информация	Данные уточняются

Последние изменения