БДУ - Уязвимости

BDU:2023-00169: Уязвимость интерпретатора языка программирования Scala, связанная с ошибками при десериализации данных, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость интерпретатора языка программирования Scala связана с ошибками при десериализации данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Сообщество свободного программного обеспечения, Fedora Project, EPFL
Наименование ПО	Debian GNU/Linux, Fedora, Scala
Версия ПО	10 (Debian GNU/Linux) 35 (Fedora) 36 (Fedora) от 2.13.0 до 2.13.9 (Scala)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 35 Fedora Project Fedora 36
Тип ошибки	Восстановление в памяти недостоверных данных
Идентификатор типа ошибки	CWE-502
Класс уязвимости	Уязвимость кода
Дата выявления	23.09.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удаленного доступа; - использование антивирусного программного обеспечения для ограничения возможности загрузки нежелательных файлов. Использование рекомендаций: Для Scala: https://github.com/scala/scala/pull/10118 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZOZVWY3X72FZZCCRAKRJYTQOJ6LUD6Z/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3WMKPFAMFQE3HJVRQ5KOJUTWG264SXI/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-36944
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://discuss.lightbend.com/t/impact-of-cve-2022-36944-on-akka-cluster-akka-actor-akka-remote/10007/2 https://github.com/scala/scala-collection-compat/releases/tag/v2.9.0 https://github.com/scala/scala/pull/10118 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZOZVWY3X72FZZCCRAKRJYTQOJ6LUD6Z/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3WMKPFAMFQE3HJVRQ5KOJUTWG264SXI/ https://www.scala-lang.org/download/ https://security-tracker.debian.org/tracker/CVE-2022-36944
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-36944
Прочая информация	Данные уточняются

Последние изменения

27.09.2023 Уязвимость средства управления устройствами энергосистемы AcSELerator QuickSet SEL-5030, связанная с включением функций из недостоверной контролируемой области, позволяющая нарушителю выполнить произвольный код
27.09.2023 Уязвимость средства управления устройствами энергосистемы AcSELerator QuickSet SEL-5030, связанная с неполной фильтрацией специальных элементов, позволяющая нарушителю выполнить произвольный код
27.09.2023 Уязвимость функции update_banner_message() инструмента для мониторинга Nagios XI, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и выполнить произвольный код
27.09.2023 Уязвимость модуля отображения веб-страниц WebKit браузера Safari и операционных систем iOS и iPadOS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.09.2023 Уязвимость ядра операционных систем iOS, watchOS, iPadOS и macOS, позволяющая нарушителю повысить свои привилегии
27.09.2023 Уязвимость компонента Security операционных систем iOS, watchOS, iPadOS и macOS, позволяющая нарушителю обойти проверку цифровой подписи
26.09.2023 Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
26.09.2023 Уязвимость модуля RDS ядра Unbreakable Enterprise Kernel (UEK) операционных систем Oracle Linux, позволяющая нарушителю вызвать отказ в обслуживании
26.09.2023 Уязвимость пользовательских вкладок браузера Google Chrome, позволяющая нарушителю подменить пользовательский интерфейс
26.09.2023 Уязвимость компонента Input браузера Google Chrome, позволяющая нарушителю подменить пользовательский интерфейс

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00169: Уязвимость интерпретатора языка программирования Scala, связанная с ошибками при десериализации данных, позволяющая нарушителю выполнить произвольный код