Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01804: Уязвимость функции generate (src/werkzeug/debug/init.py) библиотеки веб-приложений Werkzeug, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным

Описание уязвимости	Уязвимость функции generate (src/werkzeug/debug/__init__.py) библиотеки веб-приложений Werkzeug связана с недостатком в энтропии в выборе PIN. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Red Hat Inc.
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Werkzeug, Red Hat OpenStack Platform
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») до 0.15.3 (Werkzeug) 15 (Stein) (Red Hat OpenStack Platform)
Тип ПО	Операционная система, Прикладное ПО информационных систем, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. OpenSUSE Leap 15.1 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки	Недостаточная энтропия
Идентификатор типа ошибки	CWE-331
Класс уязвимости	Уязвимость кода
Дата выявления	14.05.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для python-werkzeug: Обновление программного обеспечения до 0.15.3 или более поздней версии Для Debian: https://security-tracker.debian.org/tracker/CVE-2019-14806 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81 Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00034.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00047.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-14806
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/pallets/werkzeug/commit/00bc43b1672e662e5e3b8cecd79e67fc968fa246 https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00034.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00047.html https://access.redhat.com/security/cve/CVE-2019-14806 https://nvd.nist.gov/vuln/detail/CVE-2019-14806 https://security-tracker.debian.org/tracker/CVE-2019-14806 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-14806
Прочая информация	Данные уточняются

Последние изменения