BDU:2021-02220
АО "НППКТ", ООО «Ред Софт», OpenSearch, АО «Концерн ВНИИНС», Сообщество свободного программного обес Commons IO, Astra Linux Special Edition, ОС ОН «Стрелец», ОСОН ОСнова Оnyx, Debian GNU/Linux, Maven,
2021-04-13
Уязвимость метода FileNameUtils.normalize библиотеки Apache Commons IO связана с ошибками при обработке последовательностей обхода каталогов, таких как «//../foo» или «\ .. foo». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - отключение/удаление неиспользуемых учетных записей пользователей; - минимизация пользовательских привилегий; - использование антивирусных средств защиты; - контроль действий пользователей.
Использование рекомендаций: Для Apache Commons IO: https://issues.apache.org/jira/browse/IO-556
Для РЕД ОС: https://redos.red-soft.ru/updatesec/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-29425
Для Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа:
Обновление программного обеспечения commons-io до версии 2.6-2osnova1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения commons-io до версии 2.5-1.strelets2
Для Logstash: Организационные меры: 1. Ограничить использование программного средства 2. Использование аналогичного программного средства