BDU:2021-03715: Уязвимость модуля urllib2 языка программирования Python, связанная с недостаточной нейтрализацией специальных элементов в запросе, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости Уязвимость модуля urllib2 языка программирования Python связана с инъекцией CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Python Software Foundation, АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Python, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • от 2.0 до 2.7.17 включительно (Python)
  • от 3.0 до 3.5.10 (Python)
  • от 3.6.0 до 3.6.11 (Python)
  • от 3.7.0 до 3.7.8 (Python)
  • от 3.8.0 до 3.8.3 (Python)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Неверная нейтрализация особых элементов в выходных данных, используемых входящим компонентом («инъекция»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 23.10.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Для Python:
Использование рекомендаций производителя: https://bugs.python.org/issue30458#msg347282

Для Debian:
Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-18348

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python2.7 до версии 2.7.18-13.1osnova8u1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u3osnova9u3
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения