CVE-2017-15089
Infinispan の Hotrod クライアントが、キャッシュからの情報で逆シリアル化されたデータを安全でない方法で読み込むことが分かりました。認証済みの攻撃者は、悪意のあるオブジェクトをデータキャッシュに挿入し、クライアントで逆シリアル化を取得して、さらなる攻撃を仕掛けることが可能になります。
Find out more about CVE-2017-15089 from the MITRE CVE dictionary dictionary and NIST NVD.
CVSS v3 metrics
| CVSS3 Base Score | 8 |
|---|---|
| CVSS3 Base Metrics | CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H |
| Attack Vector | Network |
| Attack Complexity | High |
| Privileges Required | Low |
| User Interaction | Required |
| Scope | Changed |
| Confidentiality | High |
| Integrity Impact | High |
| Availability Impact | High |
Red Hat Security Errata
| Platform | Errata | Release Date |
|---|---|---|
| Red Hat JBoss Data Grid 7.1 | RHSA-2018:0294 | 2018-02-12 |
Affected Packages State
| Platform | Package | State |
|---|---|---|
| Red Hat Single Sign-On 7 | infinispan-core | 調査中 |
| Red Hat JBoss Portal Platform 6 | infinispan-core | 調査中 |
| Red Hat JBoss Operations Network 3 | infinispan-core | 影響なし |
| Red Hat JBoss Fuse Service Works 6 | infinispan-core | フィクスの予定なし |
| Red Hat JBoss Fuse 6 | Camel | 影響あり |
| Red Hat JBoss EAP 7 | infinispan-core | 影響あり |
| Red Hat JBoss EAP 6 | infinispan-core | 調査中 |
| Red Hat JBoss Data Virtualization 6 | infinispan-core | 影響なし |
| Red Hat JBoss Data Grid 6 | infinispan-core | 調査中 |
| RHEV-M 4.0 | eap7-infinispan-core | フィクスの予定なし |