ГлавнаяБаза уязвимостей БДУ → BDU:2023-05212
5средняя

BDU:2023-05212 (CVE-2020-13956)

Уязвимость клиентского модуля Apache HttpClient, позволяющая нарушителю получить несанкционированный доступ к защищаемым данным или получить доступ на изменение, добавление или удаление защищаемых данных
Опубликовано: 2023-09-06
Описание

Уязвимость клиентского модуля Apache HttpClient связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемым данным или получить доступ на изменение, добавление или удаление защищаемых данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Primavera Unifier (16.2)Primavera Unifier (16.1)PeopleSoft Enterprise PeopleTools (8.57)Red Hat Enterprise Linux (8)Oracle Data Integrator (12.2.1.3.0)Jboss Fuse (7)Primavera Unifier (18.8)SnapCenterRed Hat Software CollectionsRed Hat Single Sign-On (7)WebLogic Server (12.2.1.4.0)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)PeopleSoft Enterprise PeopleTools (8.58)JBoss Enterprise Application Platform (7.3 for RHEL 6)JBoss Enterprise Application Platform (7.3 for RHEL 7)JBoss Enterprise Application Platform (7.3 for RHEL 8)Red Hat AMQ Broker (7)WebLogic Server (14.1.1.0.0)CodeReady Studio (12)Red Hat Process Automation (7)Oracle Data Integrator (12.2.1.4.0)Primavera Unifier (20.12)NoSQL Database (до 20.3)РЕД ОС (7.3)PeopleSoft Enterprise PeopleTools (8.59)Active IQ Unified Manager for Microsoft WindowsActive IQ Unified Manager for VMware vSphereRed Hat build of OpenJDK (11)
Способ устранения

Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Для программных продуктов Apache Software Foundation.:
https://lists.apache.org/thread.html/r2a03dc210231d7e852ef73015f71792ac0fcaca6cccc024c522ef17d@%3Ccommits.creadur.apache.org%3E

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20220210-0002/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-13956

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-lucene-cve-2020-13956/?sphrase_id=1189491

Компенсирующие меры для программных продуктов OpenSearch:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Для ОС ОН «Стрелец»:
Обновление программного обеспечения httpcomponents-client до версии 4.5.2-2+deb9u1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://www.oracle.com//security-alerts/cpujul2021.htmlhttps://www.oracle.com/security-alerts/cpuApr2021.htmlhttps://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.htmlhttps://lists.apache.org/thread.html/r2a03dc210231d7e852ef73015f71792ac0fcaca6cccc024c522ef17d@%3Ccommits.creadur.apache.org%3Ehttps://security.netapp.com/advisory/ntap-20220210-0002/https://access.redhat.com/security/cve/CVE-2020-13956
Проверьте безопасность своего сайта и почты → Полная проверка домена