Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02220

Опубликовано: 13 апр. 2021
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость метода FileNameUtils.normalize библиотеки Apache Commons IO связана с ошибками при обработке последовательностей обхода каталогов, таких как «//../foo» или «\ .. foo». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Apache Software Foundation
ООО «РусБИТех-Астра»
АО "НППКТ"
OpenSearch
АО «Концерн ВНИИНС»
Elastic NV

Наименование ПО

Debian GNU/Linux
РЕД ОС
Commons IO
Astra Linux Special Edition
ОСОН ОСнова Оnyx
Logstash
ОС ОН «Стрелец»
Maven

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
7.2 Муром (РЕД ОС)
до 2.7 (Commons IO)
1.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)
8.9.0 (Logstash)
до 16.01.2023 (ОС ОН «Стрелец»)
3.8.8 (Maven)
8.12.1 (Logstash)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.2 Муром
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.
Использование рекомендаций:
Для Apache Commons IO:
https://issues.apache.org/jira/browse/IO-556
Для РЕД ОС:
https://redos.red-soft.ru/updatesec/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-29425
Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа:
Обновление программного обеспечения commons-io до версии 2.6-2osnova1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения commons-io до версии 2.5-1.strelets2
Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 69%
0.00606
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-29425

CVSS3: 4.8
ubuntu
почти 5 лет назад

In Apache Commons IO before 2.7, When invoking the method FileNameUtils.normalize with an improper input string, like "//../foo", or "\\..\foo", the result would be the same value, thus possibly providing access to files in the parent directory, but not further above (thus "limited" path traversal), if the calling code would use the result to construct a path value.

redhat логотип

CVE-2021-29425

CVSS3: 4.8
redhat
почти 5 лет назад

In Apache Commons IO before 2.7, When invoking the method FileNameUtils.normalize with an improper input string, like "//../foo", or "\\..\foo", the result would be the same value, thus possibly providing access to files in the parent directory, but not further above (thus "limited" path traversal), if the calling code would use the result to construct a path value.

nvd логотип

CVE-2021-29425

CVSS3: 4.8
nvd
почти 5 лет назад

In Apache Commons IO before 2.7, When invoking the method FileNameUtils.normalize with an improper input string, like "//../foo", or "\\..\foo", the result would be the same value, thus possibly providing access to files in the parent directory, but not further above (thus "limited" path traversal), if the calling code would use the result to construct a path value.

debian логотип

CVE-2021-29425

CVSS3: 4.8
debian
почти 5 лет назад

In Apache Commons IO before 2.7, When invoking the method FileNameUtil ...

suse-cvrf логотип

openSUSE-SU-2021:0605-1

suse-cvrf
почти 5 лет назад

Security update for apache-commons-io

EPSS

Процентиль: 69%
0.00606
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2