BDU:2020-02116

Опубликовано: 30 авг. 2019

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость алгоритма кодирования имени файла архиватора Apache Commons Compress связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

Oracle Corp.

Apache Software Foundation

АО "НППКТ"

АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Common Edition

Banking Platform

Primavera Gateway

Commons Compress

Oracle FLEXCUBE Investor Servicing

Oracle FLEXCUBE Private Banking

Oracle Communications Element Manager

Oracle Communications Session Report Manager

Oracle Communications Session Route Manager

Hyperion Infrastructure Technology

ОСОН ОСнова Оnyx

ОС ОН «Стрелец»

Версия ПО

2.12 «Орёл» (Astra Linux Common Edition)

2.6.2 (Banking Platform)

от 18.8.0 до 18.8.8 включительно (Primavera Gateway)

19.12.0 (Primavera Gateway)

2.7.0 (Banking Platform)

2.9.0 (Banking Platform)

от 1.15 до 1.18 включительно (Commons Compress)

12.1.0 (Oracle FLEXCUBE Investor Servicing)

12.3.0 (Oracle FLEXCUBE Investor Servicing)

12.4.0 (Oracle FLEXCUBE Investor Servicing)

14.0.0 (Oracle FLEXCUBE Investor Servicing)

14.1.0 (Oracle FLEXCUBE Investor Servicing)

12.0.0 (Oracle FLEXCUBE Private Banking)

12.1.0 (Oracle FLEXCUBE Private Banking)

от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)

от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)

от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)

11.1.2.4 (Hyperion Infrastructure Technology)

2.8.0 (Banking Platform)

до 2.5 (ОСОН ОСнова Оnyx)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Обновление архиватора Apache Commons Compress до более новой версии

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpuapr2020.html

https://www.oracle.com/security-alerts/cpujul2020.html

https://www.oracle.com/security-alerts/cpuoct2020.html

https://www.oracle.com/security-alerts/cpujan2021.html

Для Astra Linux:

Обновление программного обеспечения (пакета libcommons-compress-java) до 1.18-2+deb10u1 или более поздней версии

Для ОСОН Основа:

Обновление программного обеспечения libcommons-compress-java до версии 1.21-1

Для ОС ОН «Стрелец»:

Обновление программного обеспечения libcommons-compress-java до версии 1.21-1strelets1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-12402
CVE

EPSS

Процентиль: 59%

0.00382

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2019-12402

CVSS3: 7.5

ubuntu

больше 6 лет назад

The file name encoding algorithm used internally in Apache Commons Compress 1.15 to 1.18 can get into an infinite loop when faced with specially crafted inputs. This can lead to a denial of service attack if an attacker can choose the file names inside of an archive created by Compress.

CVE-2019-12402

CVSS3: 7.5

redhat

больше 6 лет назад

CVE-2019-12402

CVSS3: 7.5

nvd

больше 6 лет назад

CVE-2019-12402

CVSS3: 7.5

debian

больше 6 лет назад

The file name encoding algorithm used internally in Apache Commons Com ...

GHSA-53x6-4x5p-rrvv

CVSS3: 7.5

github

больше 6 лет назад

Denial of Service in Apache Commons Compress

EPSS

Процентиль: 59%

0.00382

Низкий

7.5 High

CVSS3

7.8 High

CVSS2