BDU:2020-01057: Уязвимость модуля urllib2 интерпретатора языка программирования Python, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

Описание уязвимости Уязвимость модуля urllib2 интерпретатора языка программирования Python существуют из-за неприятия мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность защищаемой информации в результате ввода недопустимых символов (CRLF)
Вендор Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Novell Inc., Python Software Foundation
Наименование ПО Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Fedora, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Python
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 29 (Fedora)
  • 12.04 ESM (Ubuntu)
  • 19.04 (Ubuntu)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • от 3.0.0 до 3.7.2 включительно (Python)
  • от 2.0 до 2.7.15 включительно (Python)
  • 2.7.16 (Python)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7 IA-32
  • Canonical Ltd. Ubuntu 16.04 LTS 32-bit
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Canonical Ltd. Ubuntu 18.04 LTS
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Fedora Project Fedora 29
  • Canonical Ltd. Ubuntu 12.04 ESM
  • Canonical Ltd. Ubuntu 19.04
  • ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433)
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Novell Inc. OpenSUSE Leap 15.0 32-bit
  • Novell Inc. OpenSUSE Leap 15.0
  • Novell Inc. OpenSUSE Leap 15.1
  • Fedora Project Fedora 30
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Canonical Ltd. Ubuntu 14.04 ESM
  • ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки Непринятие мер по нейтрализации последовательностей CRLF (Внедрение CRLF)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 23.03.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Python:
https://bugs.python.org/issue35906

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00062.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00063.html
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html

Для Ubuntu:
https://usn.ubuntu.com/4127-2/
https://usn.ubuntu.com/4127-1/

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JMWSKTNOHSUOT3L25QFJAVCFYZX46FYK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JXASHCDD4PQFKTMKQN4YOP5ZH366ABN4/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/06/msg00022.html
https://lists.debian.org/debian-lts-announce/2019/06/msg00023.html
https://lists.debian.org/debian-lts-announce/2019/06/msg00026.html
https://security-tracker.debian.org/tracker/CVE-2019-9947

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:2030
https://access.redhat.com/errata/RHSA-2019:3335
https://access.redhat.com/errata/RHSA-2019:3520
https://bugzilla.redhat.com/show_bug.cgi?id=1695572

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения