ГлавнаяБаза уязвимостей БДУ → BDU:2023-05216
9.4критическая

BDU:2023-05216 (CVE-2021-26291)

Уязвимость фреймворка Apache Maven, позволяющая нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Опубликовано: 2023-09-06
Описание

Уязвимость фреймворка Apache Maven связана с недостатками в механизме подтверждения источника данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Financial Services Analytical Applications Infrastructure (от 8.0.6 до 8.0.9 включительно)РЕД ОС (7.3)Financial Services Analytical Applications Infrastructure (от 8.1.0.0.0 до 8.1.2.0 включительно)GoldenGate Big Data and Application Adapters (23.1)Logstash (8.9.0)Maven (3.8.8)Logstash (8.12.1)Android Studio (2025.2.3.9)Platform V SberLinux OS Server (9.2.0-fstec)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html

Для программных продуктов Apache Software Foundation.:
https://lists.apache.org/thread.html/rc7ae2530063d1cd1cf8e9fa130d10940760f927168d4063d23b8cd0a@%3Ccommits.kafka.apache.org%3E
https://lists.apache.org/thread.html/r5ae6aaa8a2ce86145225c3516bb45d315c0454e3765d651527e5df8a@%3Ccommits.kafka.apache.org%3E
https://lists.apache.org/thread.html/r4e1619cfefcd031fac62064a3858f5c9229eef907bd5d8ef14c594fc@%3Cissues.karaf.apache.org%3E

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://lists.apache.org/thread.html/rc7ae2530063d1cd1cf8e9fa130d10940760f927168d4063d23b8cd0a@%3Ccommits.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/r5ae6aaa8a2ce86145225c3516bb45d315c0454e3765d651527e5df8a@%3Ccommits.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/r4e1619cfefcd031fac62064a3858f5c9229eef907bd5d8ef14c594fc@%3Cissues.karaf.apache.org%3Ehttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://www.whitesourcesoftware.com/resources/blog/maven-security-vulnerability-cve-2021-26291/
Проверьте безопасность своего сайта и почты → Полная проверка домена