ГлавнаяБаза уязвимостей БДУ → BDU:2021-02220
5средняя

BDU:2021-02220 (CVE-2021-29425)

Уязвимость метода FileNameUtils.normalize библиотеки Apache Commons IO, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-04-27
Описание

Уязвимость метода FileNameUtils.normalize библиотеки Apache Commons IO связана с ошибками при обработке последовательностей обхода каталогов, таких как «//../foo» или «\ .. foo». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Commons IO (до 2.7)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.1)Logstash (8.9.0)ОС ОН «Стрелец» (до 16.01.2023)Maven (3.8.8)Logstash (8.12.1)Android Studio (2025.2.3.9)
Способ устранения

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Использование рекомендаций:
Для Apache Commons IO:
https://issues.apache.org/jira/browse/IO-556

Для РЕД ОС:
https://redos.red-soft.ru/updatesec/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-29425

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17



Для ОСОН Основа:

Обновление программного обеспечения commons-io до версии 2.6-2osnova1



Для ОС ОН «Стрелец»:

Обновление программного обеспечения commons-io до версии 2.5-1.strelets2

Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://issues.apache.org/jira/browse/IO-556https://redos.red-soft.ru/updatesec/https://security-tracker.debian.org/tracker/CVE-2021-29425https://lists.apache.org/thread.html/r0d73e2071d1f1afe1a15da14c5b6feb2cf17e3871168d5a3c8451436@%3Ccommits.pulsar.apache.org%3Ehttps://lists.apache.org/thread.html/r47ab6f68cbba8e730f42c4ea752f3a44eb95fb09064070f2476bb401@%3Cdev.creadur.apache.org%3Ehttps://lists.apache.org/thread.html/r8569a41d565ca880a4dee0e645dad1cd17ab4a92e68055ad9ebb7375@%3Cdev.creadur.apache.org%3Ehttps://lists.apache.org/thread.html/r873d5ddafc0a68fd999725e559776dc4971d1ab39c0f5cc81bd9bc04@%3Ccommits.pulsar.apache.org%3Ehttps://lists.apache.org/thread.html/r8efcbabde973ea72f5e0933adc48ef1425db5cde850bf641b3993f31@%3Cdev.commons.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена