Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-02302: Уязвимость модуля urllib.parse интерпретатора языка программирования Python, позволяющая нарушителю внедрить произвольные данные в ответ сервера

Описание уязвимости	Уязвимость модуля urllib.parse интерпретатора языка программирования Python связана с неприятием мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданные данные, содержащие символы CR-LF, и изменить поведение приложения
Вендор	Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», ФССП России, Python Software Foundation, АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Red Hat Software Collections, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Python, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 18.04 LTS (Ubuntu) 9.0 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) 14.04 ESM (Ubuntu) - (Red Hat Software Collections) 20.04 LTS (Ubuntu) 34 (Fedora) 16.04 ESM (Ubuntu) 11.0 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) до 3.6.14 (Python) от 3.7.0 до 3.7.11 (Python) от 3.8.0 до 3.8.11 (Python) от 3.9.0 до 3.9.5 (Python) от 3.10.0 alpha1 до 3.10.0 alpha6 (Python) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 18.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Canonical Ltd. Ubuntu 14.04 ESM Canonical Ltd. Ubuntu 20.04 LTS Fedora Project Fedora 34 Canonical Ltd. Ubuntu 16.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Неверная нейтрализация особых элементов в выходных данных, используемых входящим компонентом («инъекция»), Непринятие мер по нейтрализации последовательностей CRLF (Внедрение CRLF)
Идентификатор типа ошибки	CWE-74 CWE-93
Класс уязвимости	Уязвимость кода
Дата выявления	09.02.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Python: https://bugs.python.org/issue43882 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-0391 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-0391 Для Ubuntu: https://ubuntu.com/security/notices/USN-5342-1 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CSD2YBXP3ZF44E44QMIIAR5VTO35KTRB/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UDBDBAU6HUPZHISBOARTXZ5GKHF2VH5U/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН ОСнова Оnyx: Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u3osnova9u3
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://bugs.python.org/issue43882 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://security-tracker.debian.org/tracker/CVE-2022-0391 https://access.redhat.com/security/cve/CVE-2022-0391 https://ubuntu.com/security/notices/USN-5342-1 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CSD2YBXP3ZF44E44QMIIAR5VTO35KTRB/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UDBDBAU6HUPZHISBOARTXZ5GKHF2VH5U/ https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-0391
Прочая информация	Данные уточняются

Последние изменения