Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-00719: Уязвимость реализации функции ForeignKeyRawIdWidget библиотеки Django, позволяющая нарушителю проводить межсайтовые сценарные атаки

Описание уязвимости	Уязвимость реализации функции ForeignKeyRawIdWidget библиотеки Django связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки
Вендор	Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Fedora Project, Oracle Corp., Django Software Foundation
Наименование ПО	Ubuntu, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Fedora, Enterprise Manager Ops Center, Sun ZFS Storage Appliance Kit, Hyperion Infrastructure Technology, Django
Версия ПО	16.04 LTS (Ubuntu) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 19.10 (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 32 (Fedora) 20.04 LTS (Ubuntu) 12.4.0.0 (Enterprise Manager Ops Center) 8.8 (Sun ZFS Storage Appliance Kit) 11.1.2.4 (Hyperion Infrastructure Technology) от 2.2 до 2.2.13 (Django) от 3.0 до 3.0.7 (Django)
Тип ПО	Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS 32-bit Canonical Ltd. Ubuntu 16.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 19.10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Fedora Project Fedora 32 Canonical Ltd. Ubuntu 20.04 LTS
Тип ошибки	Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)
Идентификатор типа ошибки	CWE-79
Класс уязвимости	Уязвимость кода
Дата выявления	06.06.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS 3.0: Вектор не задан
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Django: https://docs.djangoproject.com/en/3.0/releases/security/ https://www.djangoproject.com/weblog/2020/jun/03/security-releases/ Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/ Для Ubuntu: https://usn.ubuntu.com/4381-1/ https://usn.ubuntu.com/4381-2/ Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-13596 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://docs.djangoproject.com/en/3.0/releases/security/ https://groups.google.com/forum/#!msg/django-announce/pPEmb2ot4Fo/X-SMalYSBAAJ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/ https://nvd.nist.gov/vuln/detail/CVE-2020-13596 https://security-tracker.debian.org/tracker/CVE-2020-13596 https://usn.ubuntu.com/4381-1/ https://usn.ubuntu.com/4381-2/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.debian.org/security/2020/dsa-4705 https://www.djangoproject.com/weblog/2020/jun/03/security-releases/ https://www.oracle.com/security-alerts/cpujan2021.html https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-13596
Прочая информация	Данные уточняются

Последние изменения