BDU:2023-00038: Уязвимость компонента Dev UI Config Editor Java-фреймворка quarkus, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость компонента Dev UI Config Editor Java-фреймворка quarkus связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор Red Hat Inc., Сообщество свободного программного обеспечения
Наименование ПО Red Hat build of Quarkus, quarkus
Версия ПО
  • - (Red Hat build of Quarkus)
  • до 2.13.5 (quarkus)
  • от 2.14.0 до 2.14.2 (quarkus)
Тип ПО Прикладное ПО информационных систем, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Неверное управление генерацией кода (Внедрение кода)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 22.11.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Использование рекомендаций:
Для quarkus:
https://quarkus.io/blog/quarkus-2-14-2-final-released/
https://github.com/quarkusio/quarkus/releases/tag/2.14.2.Final
https://github.com/quarkusio/quarkus/releases/tag/2.13.5.Final

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4116

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- открытие quarkus в отдельном веб-браузере;
- использование случайного пути для пользовательского интерфейса Quarkus Dev, переместив все конечные точки, не относящиеся к приложениям, в случайный корень:
%dev.quarkus.http.non-application-root-path= random string>
Затем пользовательский интерфейс Dev будет доступен по следующему URL-адресу:
http://localhost:8080/ random string>/dev/.
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения