BDU:2020-01759: Уязвимость функции jango.utils.encoding.uri_to_iri фреймворка для веб-разработки Django, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость функции jango.utils.encoding.uri_to_iri фреймворка для веб-разработки Django связана с неправильным кодированием последовательностей октетов UTF-8, которое может привести к чрезмерному использованию памяти из-за рекурсии. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Fedora Project, Django Software Foundation, АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE OpenStack Cloud, OpenSUSE Leap, Fedora, HPE Helion Openstack, Django, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 7 (SUSE OpenStack Cloud)
  • 8.0 (Debian GNU/Linux)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 8 (SUSE OpenStack Cloud)
  • Crowbar 8 (SUSE OpenStack Cloud)
  • 8 (HPE Helion Openstack)
  • от 1.11 до 1.11.23 (Django)
  • от 2.1 до 2.1.11 (Django)
  • от 2.2 до 2.2.4 (Django)
  • 9 (SUSE OpenStack Cloud)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • Crowbar 9 (SUSE OpenStack Cloud)
  • до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, Прикладное ПО информационных систем, Сетевое программное средство

Операционные системы и аппаратные платформы

Тип ошибки

Недостаточная проверка вводимых данных

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

02.08.2019

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Django:
Обновление программного обеспечения до 2:2.2.4-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-14235/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения python-django до версии 2:2.1.15-1osnova0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения