Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05212

Опубликовано: 02 дек. 2020
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость клиентского модуля Apache HttpClient связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемым данным или получить доступ на изменение, добавление или удаление защищаемых данных

Вендор

Red Hat Inc.
Oracle Corp.
NetApp Inc.
Apache Software Foundation
OpenSearch
АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux
Primavera Unifier
PeopleSoft Enterprise PeopleTools
Oracle Data Integrator
Jboss Fuse
SnapCenter
Red Hat Software Collections
Red Hat Single Sign-On
WebLogic Server
JBoss Enterprise Application Platform
Red Hat AMQ Broker
CodeReady Studio
Red Hat Process Automation
NoSQL Database
Active IQ Unified Manager for Microsoft Windows
Active IQ Unified Manager for VMware vSphere
Red Hat build of OpenJDK
Red Hat OpenShift Container Platform
JD Edwards EnterpriseOne Tools
Oracle Communications Cloud Native Core Service Communication Proxy (SCP)
Commerce Guided Search
Apache HttpClient
Quarkus
JD Edwards EnterpriseOne Orchestrator
Oracle Retail Customer Management and Segmentation Foundation
Oracle SQL Developer
Spatial studio
Logstash
ОС ОН «Стрелец»

Версия ПО

7 (Red Hat Enterprise Linux)
16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
8.57 (PeopleSoft Enterprise PeopleTools)
8 (Red Hat Enterprise Linux)
12.2.1.3.0 (Oracle Data Integrator)
7 (Jboss Fuse)
18.8 (Primavera Unifier)
- (SnapCenter)
- (Red Hat Software Collections)
7 (Red Hat Single Sign-On)
12.2.1.4.0 (WebLogic Server)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
8.58 (PeopleSoft Enterprise PeopleTools)
7.3 for RHEL 6 (JBoss Enterprise Application Platform)
7.3 for RHEL 7 (JBoss Enterprise Application Platform)
7.3 for RHEL 8 (JBoss Enterprise Application Platform)
7 (Red Hat AMQ Broker)
14.1.1.0.0 (WebLogic Server)
12 (CodeReady Studio)
7 (Red Hat Process Automation)
12.2.1.4.0 (Oracle Data Integrator)
20.12 (Primavera Unifier)
до 20.3 (NoSQL Database)
8.59 (PeopleSoft Enterprise PeopleTools)
- (Active IQ Unified Manager for Microsoft Windows)
- (Active IQ Unified Manager for VMware vSphere)
11 (Red Hat build of OpenJDK)
1.8 (Red Hat build of OpenJDK)
4 (Red Hat OpenShift Container Platform)
до 9.2.6.0 (JD Edwards EnterpriseOne Tools)
9 (Red Hat Enterprise Linux)
1.14.0 (Oracle Communications Cloud Native Core Service Communication Proxy (SCP))
11.3.2 (Commerce Guided Search)
от 5.0.0 до 5.0.3 (Apache HttpClient)
до 1.7.6 (Quarkus)
до 4.5.13 (Apache HttpClient)
до 9.2.6.0 (JD Edwards EnterpriseOne Orchestrator)
от 16.0 до 19.0 включительно (Oracle Retail Customer Management and Segmentation Foundation)
до 20.4.1.407.0006 (Oracle SQL Developer)
до 20.1.1 (Spatial studio)
до 21.99 (Oracle SQL Developer)
8.9.0 (Logstash)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
СУБД

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
Для программных продуктов Apache Software Foundation.:
https://lists.apache.org/thread.html/r2a03dc210231d7e852ef73015f71792ac0fcaca6cccc024c522ef17d@%3Ccommits.creadur.apache.org%3E
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20220210-0002/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-13956
Компенсирующие меры для программных продуктов OpenSearch:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Для ОС ОН «Стрелец»:
Обновление программного обеспечения httpcomponents-client до версии 4.5.2-2+deb9u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 65%
0.00505
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-13956

CVSS3: 5.3
ubuntu
больше 4 лет назад

Apache HttpClient versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

redhat логотип

CVE-2020-13956

CVSS3: 5.3
redhat
почти 5 лет назад

Apache HttpClient versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

nvd логотип

CVE-2020-13956

CVSS3: 5.3
nvd
больше 4 лет назад

Apache HttpClient versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

debian логотип

CVE-2020-13956

CVSS3: 5.3
debian
больше 4 лет назад

Apache HttpClient versions prior to version 4.5.13 and 5.0.3 can misin ...

suse-cvrf логотип

SUSE-SU-2024:4036-1

suse-cvrf
9 месяцев назад

Security update for httpcomponents-client, httpcomponents-core

EPSS

Процентиль: 65%
0.00505
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2