БДУ - Print

BDU:2023-00169: Уязвимость интерпретатора языка программирования Scala, связанная с ошибками при десериализации данных, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость интерпретатора языка программирования Scala связана с ошибками при десериализации данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Сообщество свободного программного обеспечения, Fedora Project, EPFL
Наименование ПО	Debian GNU/Linux, Fedora, Scala
Версия ПО	10 (Debian GNU/Linux), 35 (Fedora), 36 (Fedora), от 2.13.0 до 2.13.9 (Scala)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана Fedora Project Fedora 35 Не указана Fedora Project Fedora 36 Не указана
Тип ошибки	Восстановление в памяти недостоверных данных
Идентификатор типа ошибки	CWE-502
Класс уязвимости	Уязвимость кода
Дата выявления	23.09.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удаленного доступа; - использование антивирусного программного обеспечения для ограничения возможности загрузки нежелательных файлов. Использование рекомендаций: Для Scala: https://github.com/scala/scala/pull/10118 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZOZVWY3X72FZZCCRAKRJYTQOJ6LUD6Z/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3WMKPFAMFQE3HJVRQ5KOJUTWG264SXI/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-36944
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://discuss.lightbend.com/t/impact-of-cve-2022-36944-on-akka-cluster-akka-actor-akka-remote/10007/2 https://github.com/scala/scala-collection-compat/releases/tag/v2.9.0 https://github.com/scala/scala/pull/10118 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZOZVWY3X72FZZCCRAKRJYTQOJ6LUD6Z/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3WMKPFAMFQE3HJVRQ5KOJUTWG264SXI/ https://www.scala-lang.org/download/ https://security-tracker.debian.org/tracker/CVE-2022-36944
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-36944
Прочая информация	Данные уточняются