BDU:2019-01542

Fedora Project, Novell Inc., Moxa Inc., Red Hat Inc., АО «Концерн ВНИИНС», Сообщество свободного про Oracle Insurance Data Foundation, Red Hat Enterprise Linux, OnCell 3120-LTE-1, Oracle Financial Serv

НЕ ОЦЕНЕНО
Дата обнаружения

2019-03-25

Официальное описание

Уязвимость функции jQuery.extend() библиотеки jQuery связана с отсутствием ограничений на изменение свойства «__proto__» при выполнении операции extend. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании, выполнить произвольный JavaScript-код или повысить свои привилегии (в зависимости от контекста использования функции jQuery.extend), при помощи специально сформированного JavaScript-объекта

🛡️
Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для jQuery: https://github.com/jquery/jquery/pull/4333 https://github.com/jquery/jquery/commit/753d591aea698e57d6db58c9f722cd0808619b1b https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/

Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=67111271 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для Debian: https://lists.debian.org/debian-lts-announce/2019/05/msg00006.html https://lists.debian.org/debian-lts-announce/2019/05/msg00029.html https://lists.debian.org/debian-lts-announce/2020/02/msg00024.html

Для openSUSE: https://www.suse.com/security/cve/CVE-2019-11358/

Для продуктов Oracle: https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpujul2019.html https://www.oracle.com/security-alerts/cpuoct2019.html https://www.oracle.com/security-alerts/cpujul2020.html

Red Hat: https://access.redhat.com/security/cve/CVE-2019-11358?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW

Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WZW27UCJ5CYFL4KFFFMYMIBNMIU2ALG5/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RLXRX23725JL366CNZGJZ7AQQB7LHQ6F/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QV3PKZC3PQCO3273HAT76PAQZFBEO4KP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KYH3OAGR2RTCHRA5NOKX2TES7SNQMWGO/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5IABSKTYZ5JUGL735UKGXL5YPRYOPUYI/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4UOAZIFCSZ3ENEFOR5IXX6NFAD3HV7FA/

Для ОС ОН «Стрелец»: Обновление программного обеспечения mediawiki до версии 1:1.27.7-1+deb9u11

Для Moxa: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-244707-oncell-3120-lte-1-series-multiple-jquery-vulnerabilities

Для ОС Astra Linux 1.6 «Смоленск»: обновить пакет jquery до 3.1.1-2+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей