Уязвимость BDU:2022-06202

Дата: 13.12.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-06202.

Наименование уязвимости: Уязвимость приложения для автоматического захвата, обработки, управления и распространения видео Opencast, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость приложения для автоматического захвата, обработки, управления и распространения видео Opencast связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем Opencast Community Opencast до 10.6 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 13.12.2021.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/opencast/opencast/blob/69952463971cf578363e3b97d8edaf334ff51253/modules/ingest-service-impl/src/main/java/org/opencastproject/ingest/impl/IngestServiceImpl.java#L1587
https://github.com/opencast/opencast/commit/65c46b9d3e8f045c544881059923134571897764
https://github.com/opencast/opencast/security/advisories/GHSA-59g4-hpg3-3gcp
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-43821.
Прочая информация: Рекомендуется использовать систему принудительного контроля доступа (например, SELinux) или разрешения UNIX, чтобы ограничить доступ приложения Opencast к файлам в файловой системе
Тип ошибки CWE: CWE-552
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/opencast/opencast/blob/69952463971cf578363e3b97d8edaf334ff51253/modules/ingest-service-impl/src/main/java/org/opencastproject/ingest/impl/IngestServiceImpl.java#L1587
https://github.com/opencast/opencast/commit/65c46b9d3e8f045c544881059923134571897764
https://github.com/opencast/opencast/security/advisories/GHSA-59g4-hpg3-3gcp
https://mvnrepository.com/artifact/org.opencastproject/opencast-ingest-service-impl
https://nvd.nist.gov/vuln/detail/CVE-2021-43821

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *