IBM MQ 9.3 и 9.4 Клиент, подключающийся к менеджеру очереди MQ, может вызвать SIGSEGV в процессе канала AMQRMPPA, завершая его. Уязвимость …
IBM MQ 9.3 и 9.4 Клиент, подключающийся к менеджеру очереди MQ, может вызвать SIGSEGV в процессе канала AMQRMPPA, завершая его. Уязвимость связана с использованием после освобождения (CWE-416). Оценка CVSS Base score: 6.5, CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H). Затронуты продукты и версии: IBM MQ 9.3.2.0 - 9.3.5.1 CD, IBM MQ 9.4.0.0 - 9.4.2.1 CD, IBM MQ 9.4.0.0 - 9.4.0.11 LTS. Компоненты, затронутые уязвимостью: Server. Для исправления необходимо применить исправление/обновление. Для IBM MQ версии 9.4 LTS необходимо применить исправление 9.4.0.12. Для IBM MQ версии 9.3 CD и 9.4 CD необходимо обновиться до версии 9.4.3 [1]. Источники: - [1] https://www.ibm.com/support/pages/node/7238310
Продукт повторно использует или ссылается на память после её освобождения. В какой-то момент эта память может быть выделена повторно и сохранена в другом указателе, тогда как исходный указатель на освобождённую память используется вновь. Поскольку теперь по этому адресу может храниться посторонний объект, исходное использование указателя может привести к повреждению памяти или иным непреднамеренным последствиям. Если новая структура данных содержит указатель на функцию, то при исполнении может быть вызван код, контролируемый злоумышленником.
https://cwe.mitre.org/data/definitions/416.html →Открыть в коллекции CWE →