Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-00780: Уязвимость библиотеки Django, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость библиотеки Django связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Вендор	Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Fedora Project, Oracle Corp., Django Software Foundation
Наименование ПО	Ubuntu, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Fedora, Enterprise Manager Ops Center, Sun ZFS Storage Appliance Kit, Hyperion Infrastructure Technology, Django
Версия ПО	16.04 LTS (Ubuntu) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 14.04 ESM (Ubuntu) 8 (Debian GNU/Linux) 10 (Debian GNU/Linux) 19.10 (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 32 (Fedora) 20.04 LTS (Ubuntu) 12.4.0.0 (Enterprise Manager Ops Center) 8.8 (Sun ZFS Storage Appliance Kit) 11.1.2.4 (Hyperion Infrastructure Technology) от 2.2 до 2.2.13 (Django) от 3.0 до 3.0.7 (Django)
Тип ПО	Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS 32-bit Canonical Ltd. Ubuntu 16.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Canonical Ltd. Ubuntu 19.10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Fedora Project Fedora 32 Canonical Ltd. Ubuntu 20.04 LTS
Тип ошибки	Недостаточная проверка вводимых данных, Раскрытие информации, Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки	CWE-20 CWE-200 CWE-295
Класс уязвимости	Уязвимость архитектуры
Дата выявления	06.06.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Django: https://docs.djangoproject.com/en/3.0/releases/security/ https://www.djangoproject.com/weblog/2020/jun/03/security-releases/ Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/ Для Ubuntu: https://usn.ubuntu.com/4381-1/ https://usn.ubuntu.com/4381-2/ Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-13254 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://docs.djangoproject.com/en/3.0/releases/security/ https://groups.google.com/d/msg/django-announce/pPEmb2ot4Fo/X-SMalYSBAAJ https://lists.debian.org/debian-lts-announce/2020/06/msg00016.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/ https://nvd.nist.gov/vuln/detail/CVE-2020-13254 https://security-tracker.debian.org/tracker/CVE-2020-13254 https://usn.ubuntu.com/4381-1/ https://usn.ubuntu.com/4381-2/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.debian.org/security/2020/dsa-4705 https://www.djangoproject.com/weblog/2020/jun/03/security-releases/ https://www.oracle.com/security-alerts/cpujan2021.html https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-13254
Прочая информация	Данные уточняются

Последние изменения