ГлавнаяБаза уязвимостей БДУ → BDU:2021-00774
7.8высокая

BDU:2021-00774 (CVE-2020-11979)

Уязвимость реализации класса fixcrlf утилиты автоматизации процесса сборки программного продукта Apache Ant, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-02-16
Описание

Уязвимость реализации класса fixcrlf утилиты автоматизации процесса сборки программного продукта Apache Ant связана с недостаточной очисткой особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Enterprise Repository (11.1.1.7.0)Primavera Unifier (16.2)Primavera Unifier (16.1)OpenShift Container Platform (3.11)Fedora (31)Primavera Unifier (18.8)Red Hat Descision Manager (7)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Banking Platform (2.6.2)Fedora (32)Banking Platform (2.4.0)Banking Platform (2.4.1)Banking Platform (2.7.0)Banking Platform (2.7.1)Primavera Gateway (от 16.2.0 до 16.2.11 включительно)OpenShift Container Platform (4)CodeReady Studio (12)Financial Services Analytical Applications Infrastructure (от 8.0.6 до 8.1.0 включительно)Retail Store Inventory Management (15.0.3)Retail Store Inventory Management (16.0.3)Red Hat Process Automation (7)Fedora (33)Ant (1.10.8)Primavera Gateway (от 17.12.0 до 17.12.9 включительно)Primavera Unifier (20.12)Banking Platform (2.8.0)Oracle Retail Financial Integration (14.1.3)Oracle Retail Financial Integration (15.0.3)Oracle Retail Financial Integration (16.0.3)
Способ устранения

Использование рекомендаций:
Для Apache Ant:
https://lists.apache.org/thread.html/r107ea1b1a7a214bc72fe1a04207546ccef542146ae22952e1013b5cc@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/r1dc8518dc99c42ecca5ff82d0d2de64cd5d3a4fa691eb9ee0304781e@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/r2306b67f20c24942b872b0a41fbdc9330e8467388158bcd19c1094e0@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/r4ca33fad3fb39d130cda287d5a60727d9e706e6f2cf2339b95729490@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/r5e1cdd79f019162f76414708b2092acad0a6703d666d72d717319305@%3Cdev.creadur.apache.org%3E
https://lists.apache.org/thread.html/rc3c8ef9724b5b1e171529b47f4b35cb7920edfb6e917fa21eb6c64ea%40%3Cdev.ant.apache.org%3E

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AALW42FWNQ35F7KB3JVRC6NBVV7AAYYI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DYBRN5C2RW7JRY75IB7Q7ZVKZCHWAQWS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U3NRQQ7ECII4ZNGW7GBC225LVYMPQEKB/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11979

Для ОСОН Основа:
Обновление программного обеспечения ant до версии 1.10.11-1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.apache.org/thread.html/r107ea1b1a7a214bc72fe1a04207546ccef542146ae22952e1013b5cc@%3Cdev.creadur.apache.org%3Ehttps://lists.apache.org/thread.html/r1dc8518dc99c42ecca5ff82d0d2de64cd5d3a4fa691eb9ee0304781e@%3Cdev.creadur.apache.org%3Ehttps://lists.apache.org/thread.html/r2306b67f20c24942b872b0a41fbdc9330e8467388158bcd19c1094e0@%3Cdev.creadur.apache.org%3Ehttps://lists.apache.org/thread.html/r4ca33fad3fb39d130cda287d5a60727d9e706e6f2cf2339b95729490@%3Cdev.creadur.apache.org%3Ehttps://lists.apache.org/thread.html/r5e1cdd79f019162f76414708b2092acad0a6703d666d72d717319305@%3Cdev.creadur.apache.org%3Ehttps://lists.apache.org/thread.html/rc3c8ef9724b5b1e171529b47f4b35cb7920edfb6e917fa21eb6c64ea%40%3Cdev.ant.apache.org%3Ehttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AALW42FWNQ35F7KB3JVRC6NBVV7AAYYI/
Проверьте безопасность своего сайта и почты → Полная проверка домена