Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-02413

CVSS: 3.3

27.08.2020

Уязвимость реализации функции Files.createTempDir() набора Java-библиотек Google Guava, позволяюшая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость реализации функции Files.createTempDir() набора Java-библиотек Google Guava связана с неправильным назначением разрешений для временного каталога файлов. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	27.08.2020
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Манипулирование ресурсами
Способ устранения:	Нет данных
Меры по устранению:	Компенсирующие меры: - использование антивирусных средств защиты; - мониторинг действий пользователей; - запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе; - применение систем обнаружения и предотвращения вторжений. Использование рекомендаций: Для Google Guava: https://github.com/google/guava/commit/fec0dbc4634006a6162cfd4d0d09c962073ddf40 https://github.com/google/guava/issues/4011 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2021.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-8908 Для Logstash: Организационные меры: 1. Ограничить использование программного средства 2. Использование аналогичного программного средства
Прочая информация:	В ходе тестирования обновления (ТО1092) программного обеспечения Logstash были выявлены опасные конструкции, а именно политические баннеры

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-200	Разглашение важной информации лицам без соответствующих прав
CWE-378	CWE-378 Creation of Temporary File With Insecure Permissions
CWE-732	CWE-732: Incorrect Permission Assignment for Critical Resource

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2020-8908	Temp directory permission issue in Guava

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
1.7	LOW	2.0	AV:L/AC:L/Au:S/C:P/I:N/A:N
3.3	LOW	3.0	AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2020-8908

Вендор:	Red Hat Inc. Oracle Corp. Google Inc. Apache Software Foundation Elastic NV
Тип ПО:	Прикладное ПО информационных систем Сетевое программное средство СУБД ПО сетевого программно-аппаратного средства
Наименование ПО:	OpenShift Container Platform Red Hat Satellite Jboss Fuse OpenShift Application Runtimes Red Hat Single Sign-On Red Hat Descision Manager JBoss Enterprise Application Platform Red Hat AMQ Broker JBoss A-MQ CodeReady Studio NoSQL Database Guava Red Hat build of Quarkus Red Hat Integration Camel K Red Hat Integration Service Registry Cassandra Maven Logstash Android Studio
Версия ПО:	3.11 (OpenShift Container Platform) 6.0 (Red Hat Satellite) 7 (Jboss Fuse) - (OpenShift Application Runtimes) 7 (Red Hat Single Sign-On) 7 (Red Hat Descision Manager) 7.1.0 (JBoss Enterprise Application Platform) 4 (OpenShift Container Platform) 7.3 for RHEL 6 (JBoss Enterprise Application Platform) 7.3 for RHEL 7 (JBoss Enterprise Application Platform) 7.3 for RHEL 8 (JBoss Enterprise Application Platform) 7 (Red Hat AMQ Broker) 7 (JBoss A-MQ) 12 (CodeReady Studio) до 20.3 (NoSQL Database) до 30.0 (Guava) - (Red Hat build of Quarkus) - (Red Hat Integration Camel K) - (Red Hat Integration Service Registry) 4.1.3 (Cassandra) 3.8.8 (Maven) 8.12.1 (Logstash) 2022.2.1 (Android Studio)
Ссылки на источники:	https://github.com/google/guava/commit/fec0dbc4634006a6162cfd4d0d09c962073ddf40 https://github.com/google/guava/issues/4011 https://lists.apache.org/thread.html/r215b3d50f56faeb2f9383505f3e62faa9f549bb23e8a9848b78a968e@%3Ccommits.ws.apache.org%... https://lists.apache.org/thread.html/r3c3b33ee5bef0c67391d27a97cbfd89d44f328cf072b601b58d4e748@%3Ccommits.pulsar.apache.... https://lists.apache.org/thread.html/r4776f62dfae4a0006658542f43034a7fc199350e35a66d4e18164ee6@%3Ccommits.cxf.apache.org... https://lists.apache.org/thread.html/r68d86f4b06c808204f62bcb254fcb5b0432528ee8d37a07ef4bc8222@%3Ccommits.ws.apache.org%... https://lists.apache.org/thread.html/r841c5e14e1b55281523ebcde661ece00b38a0569e00ef5e12bd5f6ba@%3Cissues.maven.apache.or... https://lists.apache.org/thread.html/rb8c0f1b7589864396690fe42a91a71dea9412e86eec66dc85bbacaaf@%3Ccommits.cxf.apache.org... https://lists.apache.org/thread.html/rbc7642b9800249553f13457e46b813bea1aec99d2bc9106510e00ff3@%3Ctorque-dev.db.apache.o... https://lists.apache.org/thread.html/rc2dbc4633a6eea1fcbce6831876cfa17b73759a98c65326d1896cb1a@%3Ctorque-dev.db.apache.o... https://lists.apache.org/thread.html/rd5d58088812cf8e677d99b07f73c654014c524c94e7fedbdee047604@%3Ctorque-dev.db.apache.o... https://snyk.io/vuln/SNYK-JAVA-COMGOOGLEGUAVA-1015415 https://www.oracle.com/security-alerts/cpuapr2021.html https://access.redhat.com/security/cve/cve-2020-8908

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-02413