BDU:2021-00774

Опубликовано: 30 сент. 2020

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость реализации класса fixcrlf утилиты автоматизации процесса сборки программного продукта Apache Ant связана с недостаточной очисткой особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Oracle Corp.

Red Hat Inc.

Fedora Project

Apache Software Foundation

АО "НППКТ"

Наименование ПО

Enterprise Repository

Primavera Unifier

OpenShift Container Platform

Fedora

Red Hat Descision Manager

Banking Platform

Primavera Gateway

CodeReady Studio

Financial Services Analytical Applications Infrastructure

Retail Store Inventory Management

Red Hat Process Automation

Ant

Oracle Retail Financial Integration

Retail Integration Bus

Oracle Retail Service Backbone

Oracle Communications ASAP

Oracle Banking Liquidity Management

Oracle Real-Time Decision Server

Oracle Retail Extract Transform and Load

ОСОН ОСнова Оnyx

Версия ПО

11.1.1.7.0 (Enterprise Repository)

16.2 (Primavera Unifier)

16.1 (Primavera Unifier)

3.11 (OpenShift Container Platform)

31 (Fedora)

18.8 (Primavera Unifier)

7 (Red Hat Descision Manager)

19.12 (Primavera Unifier)

от 17.7 до 17.12 включительно (Primavera Unifier)

2.6.2 (Banking Platform)

32 (Fedora)

2.4.0 (Banking Platform)

2.4.1 (Banking Platform)

2.7.0 (Banking Platform)

2.7.1 (Banking Platform)

от 16.2.0 до 16.2.11 включительно (Primavera Gateway)

4 (OpenShift Container Platform)

12 (CodeReady Studio)

от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure)

15.0.3 (Retail Store Inventory Management)

16.0.3 (Retail Store Inventory Management)

7 (Red Hat Process Automation)

33 (Fedora)

1.10.8 (Ant)

от 17.12.0 до 17.12.9 включительно (Primavera Gateway)

20.12 (Primavera Unifier)

2.8.0 (Banking Platform)

14.1.3 (Oracle Retail Financial Integration)

15.0.3 (Oracle Retail Financial Integration)

16.0.3 (Oracle Retail Financial Integration)

14.1.3 (Retail Integration Bus)

15.0.3 (Retail Integration Bus)

16.0.3 (Retail Integration Bus)

14.1.3 (Oracle Retail Service Backbone)

15.0.3 (Oracle Retail Service Backbone)

16.0.3 (Oracle Retail Service Backbone)

14.1.3.9 (Retail Store Inventory Management)

7.3 (Oracle Communications ASAP)

от 14.0.0 до 14.4.0 включительно (Oracle Banking Liquidity Management)

3.2.1.0 (Oracle Real-Time Decision Server)

13.2.5 (Oracle Retail Extract Transform and Load)

13.2.8 (Oracle Retail Extract Transform and Load)

до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем

Операционная система

Операционные системы и аппаратные платформы

Fedora Project Fedora 31

Fedora Project Fedora 32

Fedora Project Fedora 33

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Apache Ant:

https://lists.apache.org/thread.html/r107ea1b1a7a214bc72fe1a04207546ccef542146ae22952e1013b5cc@%3Cdev.creadur.apache.org%3E

https://lists.apache.org/thread.html/r1dc8518dc99c42ecca5ff82d0d2de64cd5d3a4fa691eb9ee0304781e@%3Cdev.creadur.apache.org%3E

https://lists.apache.org/thread.html/r2306b67f20c24942b872b0a41fbdc9330e8467388158bcd19c1094e0@%3Cdev.creadur.apache.org%3E

https://lists.apache.org/thread.html/r4ca33fad3fb39d130cda287d5a60727d9e706e6f2cf2339b95729490@%3Cdev.creadur.apache.org%3E

https://lists.apache.org/thread.html/r5e1cdd79f019162f76414708b2092acad0a6703d666d72d717319305@%3Cdev.creadur.apache.org%3E

https://lists.apache.org/thread.html/rc3c8ef9724b5b1e171529b47f4b35cb7920edfb6e917fa21eb6c64ea%40%3Cdev.ant.apache.org%3E

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpujan2021.html

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AALW42FWNQ35F7KB3JVRC6NBVV7AAYYI/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DYBRN5C2RW7JRY75IB7Q7ZVKZCHWAQWS/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U3NRQQ7ECII4ZNGW7GBC225LVYMPQEKB/

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2020-11979

Для ОСОН Основа:

Обновление программного обеспечения ant до версии 1.10.11-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-11979
CVE

EPSS

Процентиль: 78%

0.0112

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2020-11979

CVSS3: 7.5

ubuntu

больше 5 лет назад

As mitigation for CVE-2020-1945 Apache Ant 1.10.8 changed the permissions of temporary files it created so that only the current user was allowed to access them. Unfortunately the fixcrlf task deleted the temporary file and created a new one without said protection, effectively nullifying the effort. This would still allow an attacker to inject modified source files into the build process.

CVE-2020-11979

CVSS3: 6.2

redhat

больше 5 лет назад

CVE-2020-11979

CVSS3: 7.5

nvd

больше 5 лет назад

CVE-2020-11979

CVSS3: 7.5

msrc

больше 5 лет назад

As mitigation for CVE-2020-1945 Apache Ant 1.10.8 changed the permissions of temporary files it created so that only the current user was allowed to access them. Unfortunately the fixcrlf task deleted the temporary file and created a new one without said protection effectively nullifying the effort. This would still allow an attacker to inject modified source files into the build process.

CVE-2020-11979

CVSS3: 7.5

debian

больше 5 лет назад

As mitigation for CVE-2020-1945 Apache Ant 1.10.8 changed the permissi ...

EPSS

Процентиль: 78%

0.0112

Низкий

7.5 High

CVSS3

7.8 High

CVSS2