КиберосноваSGRC
BDU:2020-02137
Критический

BDU:2020-02137: Уязвимость функции initDocumentParser библиотеки планирования заданий Terracotta Quartz Scheduler, позволяющая нарушителю осуществить XXE-атаку

CVSS v39.8
CVSS v210.0

Детали уязвимости BDU:2020-02137

Описание

Уязвимость функции initDocumentParser (xml/XMLSchedulingDataProcessor.java) библиотеки планирования заданий Terracotta Quartz Scheduler связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить XXE-атаку

Что делать с BDU:2020-02137

Критическая уязвимость (CVSS 9.8) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
9.8Критический
Пересчитать →
v2
10.0
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-611
Внедрение внешних сущностей XML

XML-парсер обрабатывает внешние сущности. Приводит к чтению файлов, SSRF, DoS.

Как атакуют и что делать ▾

Сценарий атаки

XML-документ содержит ссылку на внешнюю сущность: <!ENTITY xxe SYSTEM "file:///etc/passwd">. Парсер подставляет содержимое файла.

Последствия

Чтение произвольных файлов, SSRF, отказ в обслуживании (billion laughs).

Рекомендации

Отключите обработку внешних сущностей в XML-парсере (disallow-doctype-decl).

Тактики и техники

Инъекция

Уязвимое ПО (30)

ВендорНазваниеВерсияПлатформа
Oracle Corp.Primavera Unifier18.8Не указана
Oracle Corp.Retail Back Office14.1Не указана
Oracle Corp.Retail Central Office14.1Не указана
Oracle Corp.Retail Returns Management14.1Не указана
Oracle Corp.Retail Point-of-Service14.1Не указана
Oracle Corp.Fusion Middleware MapViewer12.2.1.3.0Не указана
Oracle Corp.Primavera Unifier16.2Не указана
Oracle Corp.Primavera Unifier16.1Не указана
Red Hat Inc.Red Hat Virtualization4Не указана
Oracle Corp.Oracle Retail Order Broker15.0Не указана
Oracle Corp.Oracle Retail Order Broker16.0Не указана
ООО «РусБИТех-Астра»Astra Linux Common Edition2.12 «Орёл»Не указана
Red Hat Inc.Jboss Fuse7Не указана
Red Hat Inc.Red Hat Process Automation Manager7Не указана
Red Hat Inc.Red Hat Descision Manager7Не указана
Oracle Corp.Primavera Unifierот 17.7 до 17.12 включительноНе указана
Novell Inc.SUSE Linux Enterprise Module for SUSE Manager Server4.0Не указана
Novell Inc.SUSE Manager Server3.2Не указана
Oracle Corp.Oracle Retail Order Broker18.0Не указана
Oracle Corp.Banking Enterprise Product Manufacturing2.7.0Не указана
Oracle Corp.Banking Enterprise Product Manufacturing2.8.0Не указана
Oracle Corp.Oracle Banking Enterprise Originations2.7.0Не указана
Oracle Corp.Oracle Banking Enterprise Originations2.8.0Не указана
Terracotta, Inc.Quartz Schedulerдо 2.3.2Не указана
Oracle Corp.Oracle Retail Order Broker19.0Не указана
Oracle Corp.Enterprise Manager Ops Center12.4.0.0Не указана
Oracle Corp.Oracle Communications Session Route Managerот 8.2.0 до 8.2.2 включительноНе указана
Oracle Corp.Enterprise Manager Base Platform13.2.1.0Не указана
Oracle Corp.Hyperion Infrastructure Technology11.1.2.4Не указана
АО «НППКТ»ОСОН ОСнова Оnyxдо 2.4.2Не указана

Среды функционирования (1)

ВендорНазваниеВерсияПлатформа
ООО «РусБИТех-Астра»Astra Linux Common Edition2.12 «Орёл»Не указана

Рекомендации по устранению

Использование рекомендаций: Для Quartz Scheduler: https://github.com/quartz-scheduler/quartz/issues/467 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-13990/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-13990 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html Для Astra Linux: Обновление программного обеспечения (пакета libquartz2-java) до 2.3.0-3 или более поздней версии Для ОСОН Основа: Обновление программного обеспечения libquartz2-java до версии 2.3.0-3

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.8

Уточните SLA под вашу среду

Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации16.2%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2019-07-22

Опубликована

2020-05-15

Обновлена

2022-10-17

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Сертификация ФСТЭК

Продукт сертифицирован ФСТЭК России — сертификат 2557 (действует).

Карточка сертификата в реестре СЗИ

Сертификация подтверждает соответствие требованиям по защите информации на момент выдачи и не гарантирует отсутствие уязвимостей.

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0