ГлавнаяБаза уязвимостей БДУ → BDU:2021-02413
1.7средняя

BDU:2021-02413 (CVE-2020-8908)

Уязвимость реализации функции Files.createTempDir() набора Java-библиотек Google Guava, позволяюшая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-05-12
Описание

Уязвимость реализации функции Files.createTempDir() набора Java-библиотек Google Guava связана с неправильным назначением разрешений для временного каталога файлов. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
OpenShift Container Platform (3.11)Red Hat Satellite (6.0)Jboss Fuse (7)OpenShift Application RuntimesRed Hat Single Sign-On (7)Red Hat Descision Manager (7)JBoss Enterprise Application Platform (7.1.0)OpenShift Container Platform (4)JBoss Enterprise Application Platform (7.3 for RHEL 6)JBoss Enterprise Application Platform (7.3 for RHEL 7)JBoss Enterprise Application Platform (7.3 for RHEL 8)Red Hat AMQ Broker (7)JBoss A-MQ (7)CodeReady Studio (12)NoSQL Database (до 20.3)Guava (до 30.0)Red Hat build of QuarkusRed Hat Integration Camel KRed Hat Integration Service RegistryCassandra (4.1.3)Maven (3.8.8)Logstash (8.12.1)Android Studio (2022.2.1)Android Studio (2025.2.3.9)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для Google Guava:
https://github.com/google/guava/commit/fec0dbc4634006a6162cfd4d0d09c962073ddf40
https://github.com/google/guava/issues/4011

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8908

Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Оценка CVSS
Балл1.7 — средняя опасность
Источники и патчи
https://github.com/google/guava/commit/fec0dbc4634006a6162cfd4d0d09c962073ddf40https://github.com/google/guava/issues/4011https://lists.apache.org/thread.html/r215b3d50f56faeb2f9383505f3e62faa9f549bb23e8a9848b78a968e@%3Ccommits.ws.apache.org%3Ehttps://lists.apache.org/thread.html/r3c3b33ee5bef0c67391d27a97cbfd89d44f328cf072b601b58d4e748@%3Ccommits.pulsar.apache.org%3Ehttps://lists.apache.org/thread.html/r4776f62dfae4a0006658542f43034a7fc199350e35a66d4e18164ee6@%3Ccommits.cxf.apache.org%3Ehttps://lists.apache.org/thread.html/r68d86f4b06c808204f62bcb254fcb5b0432528ee8d37a07ef4bc8222@%3Ccommits.ws.apache.org%3Ehttps://lists.apache.org/thread.html/r841c5e14e1b55281523ebcde661ece00b38a0569e00ef5e12bd5f6ba@%3Cissues.maven.apache.org%3Ehttps://lists.apache.org/thread.html/rb8c0f1b7589864396690fe42a91a71dea9412e86eec66dc85bbacaaf@%3Ccommits.cxf.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена