Уязвимость модулей tika-core, tika-pdf-module и tika-parsers среды обнаружения и анализа контента Apache Tika связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем внедрения специально сформированного XFA-шаблона
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности открытия файлов, полученных из недоверенных источников;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование средств межсетевого экранирования для ограничения доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
Для «GitFlic» Self-hosted:
Обновление программного обеспечения, применение обновления «GitFlic» 4.8.3, предоставляемого в личном кабинете пользователя https://lk.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD), а также на официальном сайте GitFlic https://gitflic.ru/project/gitflic/gitflic/release
| Балл | 10 — критическая опасность |