«ФСТЭК России»

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
  1. Главная
  2. Список уязвимостей
  3. BDU:2020-01759

BDU:2020-01759: Уязвимость функции jango.utils.encoding.uri_to_iri фреймворка для веб-разработки Django, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость функции jango.utils.encoding.uri_to_iri фреймворка для веб-разработки Django связана с неправильным кодированием последовательностей октетов UTF-8, которое может привести к чрезмерному использованию памяти из-за рекурсии. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, Fedora Project, Django Software Foundation

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE OpenStack Cloud, Debian GNU/Linux, OpenSUSE Leap, Fedora, HPE Helion Openstack, Django, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156)

Версия ПО

  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 7 (SUSE OpenStack Cloud)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 8 (SUSE OpenStack Cloud)
  • Crowbar 8 (SUSE OpenStack Cloud)
  • 8 (HPE Helion Openstack)
  • от 1.11 до 1.11.23 (Django)
  • от 2.1 до 2.1.11 (Django)
  • от 2.2 до 2.2.4 (Django)
  • 9 (SUSE OpenStack Cloud)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • Crowbar 9 (SUSE OpenStack Cloud)

Тип ПО

Операционная система, Прикладное ПО информационных систем, Сетевое программное средство

Операционные системы и аппаратные платформы

Тип ошибки

Недостаточная проверка вводимых данных

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

02.08.2019

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Django:
Обновление программного обеспечения до 2:2.2.4-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-14235/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://www.suse.com/security/cve/CVE-2019-14235/
https://access.redhat.com/security/cve/CVE-2019-14235
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/
https://nvd.nist.gov/vuln/detail/CVE-2019-14235
https://security-tracker.debian.org/tracker/CVE-2019-14235
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения

Угрозы: 222 Уязвимости: 45869 Последнее обновление: 27.03.2023

© ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Яндекс.Метрика