БДУ - Уязвимости

BDU:2021-01443: Уязвимость библиотеки HTTP запросов языка программирования Python Requests, связанная с недостатком механизма хранения регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным

Описание уязвимости	Уязвимость библиотеки HTTP запросов языка программирования Python Requests связана с недостатком механизма хранения регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Вендор	Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Kenneth Reitz, Cory Benfield, Ian Stapleton Cordasco, Nate Prewitt
Наименование ПО	Ubuntu, Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Requests
Версия ПО	16.04 LTS (Ubuntu) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 18.10 (Ubuntu) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) до 2.20.0 (Requests)
Тип ПО	Операционная система, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS 32-bit Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS Canonical Ltd. Ubuntu 18.10 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10
Тип ошибки	Недостаточная защита регистрационных данных
Идентификатор типа ошибки	CWE-522
Класс уязвимости	Уязвимость кода
Дата выявления	09.10.2018
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Requests: Обновление программного обеспечения до 2.20.0 или более поздней версии Для Debian: Обновление программного обеспечения (пакета requests) до 2.21.0-1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета requests) до 2.21.0-1 или более поздней версии Для Ubuntu: https://usn.ubuntu.com/3790-1/ https://usn.ubuntu.com/3790-2/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://docs.python-requests.org/en/master/community/updates/#release-and-version-history https://bugs.debian.org/910766 https://github.com/requests/requests/commit/c45d7c49ea75133e52ab22a8e9e13173938e36ff https://github.com/requests/requests/issues/4716 https://nvd.nist.gov/vuln/detail/CVE-2018-18074 https://security-tracker.debian.org/tracker/CVE-2018-18074 https://usn.ubuntu.com/3790-1/ https://usn.ubuntu.com/3790-2/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2018-18074
Прочая информация	Данные уточняются

Последние изменения

27.11.2023 Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
27.11.2023 Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
27.11.2023 Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server, позволяющая нарушителю выполнить произвольный код с привилегиями SYSTEM
27.11.2023 Уязвимость функции mremap() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
27.11.2023 Уязвимость реализации протоколов TLS и SSL VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость программного обеспечения для защиты от вредоносных программ Cisco Secure Endpoint Connector для Windows, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загрузить произвольные файлы
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю повысить свои привилегии

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»