BDU:2023-05611
ООО «Ред Софт», Red Hat Inc., Сообщество свободного программного обеспечения, Apache Software Founda Red Hat Enterprise Linux, OpenShift Developer Tools and Services, SnakeYAML, JBoss Enterprise Applic
2022-11-11
Уязвимость библиотеки для сериализации и десериализации YAML-документов SnakeYAML связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - использование антивирусных средств защиты; - мониторинг действий пользователей; - запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе; - применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций: Для SnakeYAML: https://bitbucket.org/snakeyaml/snakeyaml/commits/72dfa9f1074abe2b8a6c8776bee4476b0aed02e3
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KSPAJ5Y45A4ZDION2KN5RDWLHK4XKY2J/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7MKE4XWRXTH32757H7QJU4ACS67DYDCR/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3DDXEXXWAZGF5AVHIPGFPXIWL6TSMKJE/
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-41854
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-41854
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/