BDU:2022-02302: Уязвимость модуля urllib.parse интерпретатора языка программирования Python, позволяющая нарушителю внедрить произвольные данные в ответ сервера

Описание уязвимости Уязвимость модуля urllib.parse интерпретатора языка программирования Python связана с неприятием мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданные данные, содержащие символы CR-LF, и изменить поведение приложения
Вендор Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», ФССП России, Python Software Foundation, АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Red Hat Software Collections, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Python, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 18.04 LTS (Ubuntu)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • - (Red Hat Software Collections)
  • 20.04 LTS (Ubuntu)
  • 34 (Fedora)
  • 16.04 ESM (Ubuntu)
  • 11.0 (Debian GNU/Linux)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • до 3.6.14 (Python)
  • от 3.7.0 до 3.7.11 (Python)
  • от 3.8.0 до 3.8.11 (Python)
  • от 3.9.0 до 3.9.5 (Python)
  • от 3.10.0 alpha1 до 3.10.0 alpha6 (Python)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 6
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Canonical Ltd. Ubuntu 14.04 ESM
  • Canonical Ltd. Ubuntu 20.04 LTS
  • Fedora Project Fedora 34
  • Canonical Ltd. Ubuntu 16.04 ESM
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • Fedora Project Fedora 35
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • ФССП России ОС ТД АИС ФССП России ИК6
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки Неверная нейтрализация особых элементов в выходных данных, используемых входящим компонентом («инъекция»), Непринятие мер по нейтрализации последовательностей CRLF (Внедрение CRLF)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 09.02.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Python:
https://bugs.python.org/issue43882

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0391

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-0391

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5342-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CSD2YBXP3ZF44E44QMIIAR5VTO35KTRB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UDBDBAU6HUPZHISBOARTXZ5GKHF2VH5U/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u3osnova9u3
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения