BDU:2020-01804: Уязвимость функции generate (src/werkzeug/debug/__init__.py) библиотеки веб-приложений Werkzeug, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным

Описание уязвимости Уязвимость функции generate (src/werkzeug/debug/__init__.py) библиотеки веб-приложений Werkzeug связана с недостатком в энтропии в выборе PIN. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Red Hat Inc.
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Werkzeug, Red Hat OpenStack Platform
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • до 0.15.3 (Werkzeug)
  • 15 (Stein) (Red Hat OpenStack Platform)
Тип ПО Операционная система, Прикладное ПО информационных систем, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Недостаточная энтропия
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 14.05.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для python-werkzeug:
Обновление программного обеспечения до 0.15.3 или более поздней версии

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-14806

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00034.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00047.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14806
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения