Уязвимость метода FileNameUtils.normalize библиотеки Apache Commons IO связана с ошибками при обработке последовательностей обхода каталогов, таких как «//../foo» или «\ .. foo». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.
Использование рекомендаций:
Для Apache Commons IO:
https://issues.apache.org/jira/browse/IO-556
Для РЕД ОС:
https://redos.red-soft.ru/updatesec/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-29425
Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа:
Обновление программного обеспечения commons-io до версии 2.6-2osnova1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения commons-io до версии 2.5-1.strelets2
Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства
| Балл | 5 — средняя опасность |