КиберосноваSGRC
BDU:2018-00935
Высокий

BDU:2018-00935: Уязвимость модуля spring-messaging программной платформы Spring Framework, позволяющая нарушителю получить полный контроль над приложением

CVSS v39.8
CVSS v27.5

Детали уязвимости BDU:2018-00935

Описание

Уязвимость модуля spring-messaging программной платформы Spring Framework вызвана ошибками обработки сообщений STOMP. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью специально сформированного сообщения

Что делать с BDU:2018-00935

Высокая уязвимость (CVSS 9.8) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
9.8Критический
Пересчитать →
v2
7.5
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:P/I:P/A:P

CWE — тип уязвимости

CVE — международный идентификатор

Тактики и техники

Манипулирование ресурсами

Уязвимое ПО (27)

ВендорНазваниеВерсияПлатформа
Oracle Corp.WebLogic Server10.3.6.0Не указана
Oracle Corp.WebLogic Server12.1.3.0Не указана
Oracle Corp.Enterprise Manager Ops Center12.2.2Не указана
Oracle Corp.Enterprise Manager Ops Center12.3.3Не указана
Oracle Corp.Application Testing Suite10.1Не указана
Oracle Corp.Financial Services Analytical Applications Infrastructureот 8.0.0Не указана
Oracle Corp.Financial Services Behavior Detection Platformот 8.0.0Не указана
Oracle Corp.Enterprise Repository11.1.1.7.0Не указана
Oracle Corp.Enterprise Repository12.1.3.0.0Не указана
Oracle Corp.Insurance Policy Administration10.0Не указана
Oracle Corp.Insurance Policy Administration10.1Не указана
Oracle Corp.Insurance Policy Administration10.2Не указана
Oracle Corp.Insurance Policy Administration11.0Не указана
Oracle Corp.PeopleSoft Enterprise FIN Install9.2Не указана
Oracle Corp.Retail Back Office14.0Не указана
Oracle Corp.Retail Back Office14.1Не указана
Oracle Corp.Retail Central Office14.0Не указана
Oracle Corp.Retail Central Office14.1Не указана
Oracle Corp.Retail Returns Management14.0Не указана
Oracle Corp.Retail Returns Management14.1Не указана
Oracle Corp.Retail Point-of-Service14.0Не указана
Oracle Corp.Retail Point-of-Service14.1Не указана
Oracle Corp.WebLogic Server12.2.1.2Не указана
Oracle Corp.WebLogic Server12.2.1.3Не указана
Pivotal Software Inc.Spring Frameworkот 4.3.0 до 4.3.16Не указана
Pivotal Software Inc.Spring Frameworkот 5.0 до 5.0.5Не указана
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана

Среды функционирования (1)

ВендорНазваниеВерсияПлатформа
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана

Рекомендации по устранению

Использование рекомендаций: https://pivotal.io/security/cve-2018-1275 http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html Для ОС ОН «Стрелец»: Обновление программного обеспечения libspring-java до версии 4.3.5-1+deb9u1

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.8

Уточните SLA под вашу среду

Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации57.6%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2018-04-24

Опубликована

2018-08-03

Обновлена

2023-11-21

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0