BDU:2020-02137

АО "НППКТ", Novell Inc., Red Hat Inc., Terracotta, Inc., ООО «РусБИТех-Астра», Oracle Corp. Retail Returns Management, SUSE Manager Server, Oracle Banking Enterprise Originations, Enterprise M

НЕ ОЦЕНЕНО

Дата обнаружения

2019-07-22

Официальное описание

Уязвимость функции initDocumentParser (xml/XMLSchedulingDataProcessor.java) библиотеки планирования заданий Terracotta Quartz Scheduler связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить XXE-атаку

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для Quartz Scheduler: https://github.com/quartz-scheduler/quartz/issues/467

Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-13990/

Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-13990

Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html

Для Astra Linux: Обновление программного обеспечения (пакета libquartz2-java) до 2.3.0-3 или более поздней версии

Для ОСОН Основа: Обновление программного обеспечения libquartz2-java до версии 2.3.0-3

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей