PT-2020-9928 · Eclipse · Eclipse Memory Analyzer
Andrew Johnson
·
Publicado
2020-01-17
·
Atualizado
2020-01-23
·
CVE-2019-17635
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Eclipse Memory Analyzer versões 1.9.1 e anteriores
Descrição
O problema diz respeito a uma vulnerabilidade de deserialização. Ela pode ocorrer se um arquivo de índice de um despejo de memória analisado for substituído por uma versão maliciosa e o despejo de memória for reaberto no Memory Analyzer. Para que o problema ocorra, o usuário deve optar por reabrir um despejo de heap já analisado com um índice não confiável. Além disso, alguns dados de configuração local estão sujeitos a uma vulnerabilidade de desserialização caso os dados locais sejam substituídos por uma versão maliciosa. Isso pode ser evitado se os dados de configuração local armazenados no sistema de arquivos não puderem ser alterados por um invasor. A vulnerabilidade poderia permitir a execução de código no sistema local.
Recomendações
Para as versões 1.9.1 e anteriores do Eclipse Memory Analyzer, para evitar o problema, exclua os arquivos de índice de fontes não confiáveis e abra e analise novamente o despejo de memória. Certifique-se de que os dados de configuração locais armazenados no sistema de arquivos não possam ser alterados por um invasor.
Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eclipse Memory Analyzer