| Summary: | batik new security issues CVE-2022-38398, CVE-2022-38648, CVE-2022-40146, CVE-2022-41704, CVE-2022-42890 | ||
|---|---|---|---|
| Product: | Mageia | Reporter: | David Walser <luigiwalser> |
| Component: | Security | Assignee: | QA Team <qa-bugs> |
| Status: | RESOLVED FIXED | QA Contact: | Sec team <security> |
| Severity: | major | ||
| Priority: | Normal | CC: | andrewsfarm, herman.viaene, nicolas.salguero, sysadmin-bugs, tarazed25 |
| Version: | 9 | Keywords: | advisory, validated_update |
| Target Milestone: | --- | ||
| Hardware: | All | ||
| OS: | Linux | ||
| Whiteboard: | MGA9-64-OK | ||
| Source RPM: | batik-1.14-4.mga9.src.rpm | CVE: | CVE-2022-38398, CVE-2022-38648, CVE-2022-40146, CVE-2022-41704, CVE-2022-42890 |
| Status comment: | |||
| Attachments: | SVG generator java script | ||
|
Description
David Walser
2022-09-23 17:56:53 CEST
David Walser
2022-09-23 17:57:05 CEST
Whiteboard:
(none) =>
MGA8TOO Apache has issued advisories today (October 25): https://www.openwall.com/lists/oss-security/2022/10/25/2 https://www.openwall.com/lists/oss-security/2022/10/25/3 The issues are fixed upstream in 1.16. Summary:
batik new security issues CVE-2022-38398, CVE-2022-38648, CVE-2022-40146 =>
batik new security issues CVE-2022-38398, CVE-2022-38648, CVE-2022-40146, CVE-2022-41704, CVE-2022-42890 (In reply to David Walser from comment #1) > Apache has issued advisories today (October 25): > https://www.openwall.com/lists/oss-security/2022/10/25/2 > https://www.openwall.com/lists/oss-security/2022/10/25/3 > > The issues are fixed upstream in 1.16. Debian has issued an advisory for this on October 29: https://www.debian.org/security/2022/dsa-5264 Ubuntu has issued an advisory for this on May 30: https://ubuntu.com/security/notices/USN-6117-1 Suggested advisory: ======================== The updated packages fix security vulnerabilities: Server-Side Request Forgery (SSRF) vulnerability in Batik of Apache XML Graphics allows an attacker to load a url thru the jar protocol. (CVE-2022-38398) Server-Side Request Forgery (SSRF) vulnerability in Batik of Apache XML Graphics allows an attacker to fetch external resources. (CVE-2022-38648) Server-Side Request Forgery (SSRF) vulnerability in Batik of Apache XML Graphics allows an attacker to access files using a Jar url. (CVE-2022-40146) A vulnerability in Batik of Apache XML Graphics allows an attacker to run untrusted Java code from an SVG. (CVE-2022-41704) A vulnerability in Batik of Apache XML Graphics allows an attacker to run Java code from untrusted SVG via JavaScript. (CVE-2022-42890) References: https://www.openwall.com/lists/oss-security/2022/09/22/2 https://www.openwall.com/lists/oss-security/2022/09/22/3 https://www.openwall.com/lists/oss-security/2022/09/22/4 https://www.openwall.com/lists/oss-security/2022/10/25/2 https://www.openwall.com/lists/oss-security/2022/10/25/3 https://www.debian.org/security/2022/dsa-5264 https://ubuntu.com/security/notices/USN-6117-1 ======================== Updated packages in core/updates_testing: ======================== batik-1.14-4.1.mga9 batik-css-1.14-4.1.mga9 batik-demo-1.14-4.1.mga9 batik-javadoc-1.14-4.1.mga9 batik-rasterizer-1.14-4.1.mga9 batik-slideshow-1.14-4.1.mga9 batik-squiggle-1.14-4.1.mga9 batik-svgpp-1.14-4.1.mga9 batik-ttf2svg-1.14-4.1.mga9 batik-util-1.14-4.1.mga9 from SRPM: batik-1.14-4.1.mga9.src.rpm Whiteboard:
MGA8TOO =>
(none)
katnatek
2024-03-14 19:57:18 CET
Keywords:
(none) =>
advisory MGA9-64 Plasma Wayland on HP-Pavillion No installation issues Previous update 28439 concluded this requires specialized knowledge and OK'ed on clean install. I wonder whether Len can come up with something more conclusive. CC:
(none) =>
herman.viaene Created attachment 14460 [details] SVG generator java script File from https://xmlgraphics.apache.org/batik/using/svg-generator.html which might be useful. It does not compile as it stands - needs something extra which might be obvious to a java expert. Not really Herman. Apache Batik SVG toolkit CVE-2022-38398 https://issues.apache.org/jira/browse/BATIK-1331 test.svg No indication of how to use it. It displays as a blank rectangle in a browser and with display. In a browser it appears as a black rectangle which turns blue when clicked on. "Jar url should be blocked by DefaultExternalResourceSecurity" The file contains such a link. The general idea is that it should be run via batik but cannot figure out how. Presumably it would fail after the update because it contains a suspicious link. Tried to get to grips with the attached script to use batik but that refused to compile. I have little experience of java. $ javac generator.java generator.java:14: error: class TestSVGGen is public, should be declared in a file named TestSVGGen.java public class TestSVGGen { ^ generator.java:8: error: package org.apache.batik.svggen does not exist import org.apache.batik.svggen.SVGGraphics2D; ^ generator.java:9: error: package org.apache.batik.dom does not exist import org.apache.batik.dom.GenericDOMImplementation ^ [...] 6 errors Did not investigate the other CVEs. Updated the packages without issues. Unless any java experts want to have a go we should give this the OK. Tried the jar file in /usr/share/java, after updating. java -jar /usr/share/java/batik-all.jar WARNING: A terminally deprecated method in java.lang.System has been called WARNING: System::setSecurityManager has been called by org.apache.batik.util.ApplicationSecurityEnforcer (file:/usr/share/java/batik-all.jar) .... This displayed a Squiggle information panel, which may be all that it is designed to do. The batik directory in that tree contains many jar files which look like utilities but as before, they cannot be run on their own, they need a main framework or something. VM mageia 9 x86_64
install current versions, update to testing versions and remove packages
LC_ALL=C urpmi batik batik-css batik-demo batik-javadoc batik-rasterizer batik-slideshow batik-squiggle batik-svgpp batik-ttf2svg batik-util
To satisfy dependencies, the following packages are going to be installed:
Package Version Release Arch
(medium "Core Release")
apache-commons-io 2.11.0 3.mga9 noarch
apache-commons-logging 1.2 18.mga9 noarch
batik 1.14 4.mga9 noarch
batik-css 1.14 4.mga9 noarch
batik-demo 1.14 4.mga9 noarch
batik-javadoc 1.14 4.mga9 noarch
batik-rasterizer 1.14 4.mga9 noarch
batik-slideshow 1.14 4.mga9 noarch
batik-squiggle 1.14 4.mga9 noarch
batik-svgpp 1.14 4.mga9 noarch
batik-ttf2svg 1.14 4.mga9 noarch
batik-util 1.14 4.mga9 noarch
javapackages-tools 6.1.0 2.mga9 noarch
x11-font-type1 1.0.0 17.mga9 noarch
x11-font-xfree86-type1 1.0.4 10.mga9 noarch
xalan-j2 2.7.2 13.mga9 noarch
xerces-j2 2.12.2 1.mga9 noarch
xml-commons-apis 1.4.01 39.mga9 noarch
xml-commons-resolver 1.2 38.mga9 noarch
xmlgraphics-commons 2.7 1.mga9 noarch
(medium "Core Updates")
java-17-openjdk 17.0.10.0.7 1.mga9 x86_64
145MB of additional disk space will be used.
14MB of packages will be retrieved.
Proceed with the installation of the 21 packages? (Y/n) y
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/apache-commons-logging-1.2-18.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/xalan-j2-2.7.2-13.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/javapackages-tools-6.1.0-2.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-util-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-demo-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/x11-font-xfree86-type1-1.0.4-10.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-css-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-rasterizer-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-ttf2svg-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/xml-commons-apis-1.4.01-39.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/xerces-j2-2.12.2-1.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/xmlgraphics-commons-2.7-1.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/x11-font-type1-1.0.0-17.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-svgpp-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-javadoc-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-squiggle-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/xml-commons-resolver-1.2-38.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/apache-commons-io-2.11.0-3.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/release/batik-slideshow-1.14-4.mga9.noarch.rpm
https://mirrors.kernel.org/mageia/distrib/9/x86_64/media/core/updates/java-17-openjdk-17.0.10.0.7-1.mga9.x86_64.rpm
installing batik-css-1.14-4.mga9.noarch.rpm x11-font-xfree86-type1-1.0.4-10.mga9.noarch.rpm batik-rasterizer-1.14-4.mga9.noarch.rpm batik-ttf2svg-1.14-4.mga9.noarch.rpm batik-1.14-4.mga9.noarch.rpm xalan-j2-2.7.2-13.mga9.noarch.rpm apache-commons-logging-1.2-18.mga9.noarch.rpm batik-util-1.14-4.mga9.noarch.rpm javapackages-tools-6.1.0-2.mga9.noarch.rpm batik-demo-1.14-4.mga9.noarch.rpm java-17-openjdk-17.0.10.0.7-1.mga9.x86_64.rpm xml-commons-resolver-1.2-38.mga9.noarch.rpm apache-commons-io-2.11.0-3.mga9.noarch.rpm batik-slideshow-1.14-4.mga9.noarch.rpm xmlgraphics-commons-2.7-1.mga9.noarch.rpm x11-font-type1-1.0.0-17.mga9.noarch.rpm xerces-j2-2.12.2-1.mga9.noarch.rpm xml-commons-apis-1.4.01-39.mga9.noarch.rpm batik-svgpp-1.14-4.mga9.noarch.rpm batik-squiggle-1.14-4.mga9.noarch.rpm batik-javadoc-1.14-4.mga9.noarch.rpm from /var/cache/urpmi/rpms
Preparing... ###########################################################################################
1/21: javapackages-tools ###########################################################################################
2/21: batik-util ###########################################################################################
3/21: xml-commons-apis ###########################################################################################
4/21: xml-commons-resolver ###########################################################################################
5/21: xerces-j2 ###########################################################################################
6/21: xalan-j2 ###########################################################################################
7/21: apache-commons-io ###########################################################################################
8/21: apache-commons-logging
###########################################################################################
9/21: xmlgraphics-commons ###########################################################################################
10/21: batik-css ###########################################################################################
11/21: batik ###########################################################################################
12/21: x11-font-xfree86-type1
###########################################################################################
13/21: x11-font-type1 ###########################################################################################
14/21: java-17-openjdk ###########################################################################################
15/21: batik-slideshow ###########################################################################################
16/21: batik-squiggle ###########################################################################################
17/21: batik-rasterizer ###########################################################################################
18/21: batik-ttf2svg ###########################################################################################
19/21: batik-demo ###########################################################################################
20/21: batik-svgpp ###########################################################################################
21/21: batik-javadoc ###########################################################################################
LC_ALL=C urpmi --auto --auto-update
medium "QA Testing (64-bit)" is up-to-date
medium "Core Release" is up-to-date
medium "Core Updates" is up-to-date
medium "Nonfree Release" is up-to-date
medium "Nonfree Updates" is up-to-date
medium "Tainted Release" is up-to-date
medium "Tainted Updates" is up-to-date
installing batik-util-1.14-4.1.mga9.noarch.rpm batik-squiggle-1.14-4.1.mga9.noarch.rpm batik-demo-1.14-4.1.mga9.noarch.rpm batik-svgpp-1.14-4.1.mga9.noarch.rpm batik-css-1.14-4.1.mga9.noarch.rpm batik-rasterizer-1.14-4.1.mga9.noarch.rpm batik-slideshow-1.14-4.1.mga9.noarch.rpm batik-ttf2svg-1.14-4.1.mga9.noarch.rpm batik-1.14-4.1.mga9.noarch.rpm batik-javadoc-1.14-4.1.mga9.noarch.rpm from //home/qateam/qa-testing/x86_64
Preparing... ###########################################################################################
1/10: batik-util ###########################################################################################
2/10: batik-css ###########################################################################################
3/10: batik ###########################################################################################
4/10: batik-squiggle ###########################################################################################
5/10: batik-demo ###########################################################################################
6/10: batik-svgpp ###########################################################################################
7/10: batik-rasterizer ###########################################################################################
8/10: batik-slideshow ###########################################################################################
9/10: batik-ttf2svg ###########################################################################################
10/10: batik-javadoc ###########################################################################################
1/10: removing batik-slideshow-1:1.14-4.mga9.noarch
###########################################################################################
2/10: removing batik-rasterizer-1:1.14-4.mga9.noarch
###########################################################################################
3/10: removing batik-svgpp-1:1.14-4.mga9.noarch
###########################################################################################
4/10: removing batik-squiggle-1:1.14-4.mga9.noarch
###########################################################################################
5/10: removing batik-ttf2svg-1:1.14-4.mga9.noarch
###########################################################################################
6/10: removing batik-demo-1:1.14-4.mga9.noarch
###########################################################################################
7/10: removing batik-1:1.14-4.mga9.noarch
###########################################################################################
8/10: removing batik-css-1:1.14-4.mga9.noarch
###########################################################################################
9/10: removing batik-util-1:1.14-4.mga9.noarch
###########################################################################################
10/10: removing batik-javadoc-1:1.14-4.mga9.noarch
###########################################################################################
writing /var/lib/rpm/installed-through-deps.list
LC_ALL=C urpme $(rpm -qa|grep batik)
removing batik-1.14-4.1.mga9.noarch batik-css-1.14-4.1.mga9.noarch batik-demo-1.14-4.1.mga9.noarch batik-javadoc-1.14-4.1.mga9.noarch batik-rasterizer-1.14-4.1.mga9.noarch batik-slideshow-1.14-4.1.mga9.noarch batik-squiggle-1.14-4.1.mga9.noarch batik-svgpp-1.14-4.1.mga9.noarch batik-ttf2svg-1.14-4.1.mga9.noarch batik-util-1.14-4.1.mga9.noarch
removing package batik-rasterizer-1:1.14-4.1.mga9.noarch
1/10: removing batik-rasterizer-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-svgpp-1:1.14-4.1.mga9.noarch
2/10: removing batik-svgpp-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-squiggle-1:1.14-4.1.mga9.noarch
3/10: removing batik-squiggle-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-slideshow-1:1.14-4.1.mga9.noarch
4/10: removing batik-slideshow-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-ttf2svg-1:1.14-4.1.mga9.noarch
5/10: removing batik-ttf2svg-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-demo-1:1.14-4.1.mga9.noarch
6/10: removing batik-demo-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-1:1.14-4.1.mga9.noarch
7/10: removing batik-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-css-1:1.14-4.1.mga9.noarch
8/10: removing batik-css-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-util-1:1.14-4.1.mga9.noarch
9/10: removing batik-util-1:1.14-4.1.mga9.noarch
###########################################################################################
removing package batik-javadoc-1:1.14-4.1.mga9.noarch
10/10: removing batik-javadoc-1:1.14-4.1.mga9.noarch
###########################################################################################
The following packages:
apache-commons-io-2.11.0-3.mga9.noarch
apache-commons-logging-1.2-18.mga9.noarch
java-17-openjdk-17.0.10.0.7-1.mga9.x86_64
javapackages-tools-6.1.0-2.mga9.noarch
x11-font-type1-1.0.0-17.mga9.noarch
x11-font-xfree86-type1-1.0.4-10.mga9.noarch
xalan-j2-2.7.2-13.mga9.noarch
xerces-j2-2.12.2-1.mga9.noarch
xml-commons-apis-1.4.01-39.mga9.noarch
xml-commons-resolver-1.2-38.mga9.noarch
xmlgraphics-commons-2.7-1.mga9.noarch
are now orphaned, if you wish to remove them, you can use "urpme --auto-orphans"
LC_ALL=C urpme --auto-orphans --auto
removing apache-commons-io-2.11.0-3.mga9.noarch apache-commons-logging-1.2-18.mga9.noarch java-17-openjdk-17.0.10.0.7-1.mga9.x86_64 javapackages-tools-6.1.0-2.mga9.noarch x11-font-type1-1.0.0-17.mga9.noarch x11-font-xfree86-type1-1.0.4-10.mga9.noarch xalan-j2-2.7.2-13.mga9.noarch xerces-j2-2.12.2-1.mga9.noarch xml-commons-apis-1.4.01-39.mga9.noarch xml-commons-resolver-1.2-38.mga9.noarch xmlgraphics-commons-2.7-1.mga9.noarch
removing package xalan-j2-2.7.2-13.mga9.noarch
1/11: removing xalan-j2-2.7.2-13.mga9.noarch
###########################################################################################
removing package xerces-j2-2.12.2-1.mga9.noarch
2/11: removing xerces-j2-2.12.2-1.mga9.noarch
###########################################################################################
removing package xmlgraphics-commons-0:2.7-1.mga9.noarch
3/11: removing xmlgraphics-commons-0:2.7-1.mga9.noarch
###########################################################################################
removing package xml-commons-resolver-0:1.2-38.mga9.noarch
4/11: removing xml-commons-resolver-0:1.2-38.mga9.noarch
###########################################################################################
removing package java-17-openjdk-1:17.0.10.0.7-1.mga9.x86_64
5/11: removing java-17-openjdk-1:17.0.10.0.7-1.mga9.x86_64
###########################################################################################
removing package x11-font-type1-1.0.0-17.mga9.noarch
6/11: removing x11-font-type1-1.0.0-17.mga9.noarch
###########################################################################################
removing package x11-font-xfree86-type1-1.0.4-10.mga9.noarch
7/11: removing x11-font-xfree86-type1-1.0.4-10.mga9.noarch
###########################################################################################
removing package javapackages-tools-6.1.0-2.mga9.noarch
8/11: removing javapackages-tools-6.1.0-2.mga9.noarch
###########################################################################################
removing package apache-commons-io-1:2.11.0-3.mga9.noarch
9/11: removing apache-commons-io-1:2.11.0-3.mga9.noarch
###########################################################################################
removing package apache-commons-logging-1.2-18.mga9.noarch
10/11: removing apache-commons-logging-1.2-18.mga9.noarch
###########################################################################################
removing package xml-commons-apis-1.4.01-39.mga9.noarch
11/11: removing xml-commons-apis-1.4.01-39.mga9.noarch
###########################################################################################
katnatek
2024-03-16 04:57:53 CET
CC:
(none) =>
andrewsfarm Previous round https://bugs.mageia.org/show_bug.cgi?id=28439 was validated on base of clean install Whiteboard:
(none) =>
MGA9-64-OK Let this to you Thomas Yes, Len gave it a good try in the last bug, too. Validating. CC:
(none) =>
sysadmin-bugs An update for this issue has been pushed to the Mageia Updates repository. https://advisories.mageia.org/MGASA-2024-0068.html Status:
ASSIGNED =>
RESOLVED |