BDU:2022-00354: Уязвимость шаблона dictsort фреймворка для веб-приложений Django, позволяющая нарушителю получить доступ к конфиденциальной информации

Описание уязвимости Уязвимость шаблона dictsort фреймворка для веб-приложений Django связана с раскрытием информации в ошибочной области данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить конфиденциальную информацию о системе
Вендор ООО «Ред Софт», ООО «РусБИТех-Астра», Django Software Foundation, АО "НППКТ"
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Django, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • от 2.2 до 2.2.26 (Django)
  • от 3.2 до 3.2.11 (Django)
  • от 4.0 до 4.0.1 (Django)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие ресурса для ошибочной области
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 04.01.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Django:
https://docs.djangoproject.com/en/4.0/releases/security/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Django:
https://docs.djangoproject.com/en/4.0/releases/security/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-django до версии 2:2.2.26-1~deb11u1osnova0

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения