Все бюллетени/sisyphus/ALT-PU-2018-3710-1
ALT-PU-2018-3710-1

Обновление пакета batik в ветке sisyphus

Версия1.10-alt1_1jpp8
Задание#207582
Опубликовано2018-06-01
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (3)

BDU:2018-00961
HIGH7.3

Уязвимость библиотеки для работы с SVG-изображениями Apache Batik, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю получить доступ к защищаемым данным или вызвать отказ в обслуживании

Опубликовано: 2018-08-10Изменено: 2021-03-23
CVSS 3.xВЫСОКАЯ 7.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
CVSS 2.0ВЫСОКАЯ 7.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P
Ссылки
CVE-2018-8013
CRITICAL9.8

In Apache Batik 1.x before 1.10, when deserializing subclass of `AbstractDocument`, the class takes a string from the inputStream as the class name which then use it to call the no-arg constructor of the class. Fix was to check the class type before calling newInstance in deserialization.

Опубликовано: 2018-05-24Изменено: 2024-11-21
CVSS 2.0ВЫСОКАЯ 7.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки
GHSA-25gw-4pcc-45cf
CRITICAL9.8

Deserialization of Untrusted Data in Apache Batik

Опубликовано: 2022-05-13Изменено: 2024-03-05
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки