Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05002: Уязвимость класса SSLSocket интерпретатора языка программирования Python, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости	Уязвимость интерпретатора языка программирования Python связана с некорректной инициализацией ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию
Вендор	Novell Inc., Python Software Foundation
Наименование ПО	Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, Python
Версия ПО	12 SP3 (Suse Linux Enterprise Desktop) 12 SP4 (Suse Linux Enterprise Desktop) 12 SP2 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (Suse Linux Enterprise Server) 12 SP4 (Suse Linux Enterprise Server) 11 SP4 (Suse Linux Enterprise Server) 12 SP2-BCL (Suse Linux Enterprise Server) 12 SP2-ESPOS (Suse Linux Enterprise Server) 12-LTSS (Suse Linux Enterprise Server) 11 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP1 (SUSE Linux Enterprise Server for SAP Applications) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 11 SP4-LTSS (Suse Linux Enterprise Server) 12 SP1-LTSS (Suse Linux Enterprise Server) 12 SP2-LTSS (Suse Linux Enterprise Server) 12 SP3-LTSS (Suse Linux Enterprise Server) 12 SP3-BCL (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 11 SP3-LTSS (Suse Linux Enterprise Server) 12 SP3-ESPOS (Suse Linux Enterprise Server) 12 SP2 (Suse Linux Enterprise Desktop) 12 SP2 (Suse Linux Enterprise Server) 15-LTSS (Suse Linux Enterprise Server) 12 SP1 (Suse Linux Enterprise Desktop) 12 SP1 (Suse Linux Enterprise Server) 12 (SUSE Linux Enterprise Server for SAP Applications) 11 SP4 (Suse Linux Enterprise Desktop) 11 SP3 (Suse Linux Enterprise Server) 12 (Suse Linux Enterprise Desktop) 12 SP4-ESPOS (Suse Linux Enterprise Server) 12 SP4-LTSS (Suse Linux Enterprise Server) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 15 SP1 (Suse Linux Enterprise Server) 12 (Suse Linux Enterprise Server) 15 SP3 (Suse Linux Enterprise Server) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 15 SP3 (Suse Linux Enterprise Desktop) 15 SP2 (Suse Linux Enterprise Server) 15 SP2 (SUSE Linux Enterprise Server for SAP Applications) 15 SP4 (Suse Linux Enterprise Server) 15 SP2 (Suse Linux Enterprise Desktop) 15 SP4 (Suse Linux Enterprise Desktop) 15 (Suse Linux Enterprise Server) 15 SP2-BCL (Suse Linux Enterprise Server) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 15 SP2-LTSS (Suse Linux Enterprise Server) 15 SP1 (Suse Linux Enterprise Desktop) 15 (Suse Linux Enterprise Desktop) 15 SP3-LTSS (Suse Linux Enterprise Server) 15 SP3-BCL (Suse Linux Enterprise Server) 15 SP5 (SUSE Linux Enterprise Server for SAP Applications) 15 SP5 (Suse Linux Enterprise Server) 15 SP5 (Suse Linux Enterprise Desktop) от 3.11.0 до 3.11.4 включительно (Python) от 3.10.0 до 3.10.12 включительно (Python) от 3.9.0 до 3.9.17 включительно (Python) от 3.8.0 до 3.8.17 включительно (Python)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Novell Inc. Suse Linux Enterprise Desktop 12 SP3 Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Novell Inc. Suse Linux Enterprise Server 12 SP3 Novell Inc. Suse Linux Enterprise Server 12 SP4 Novell Inc. Suse Linux Enterprise Server 11 SP4 Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Novell Inc. Suse Linux Enterprise Server 12-LTSS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Novell Inc. Suse Linux Enterprise Server 12 SP5 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Novell Inc. Suse Linux Enterprise Server 11 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Novell Inc. Suse Linux Enterprise Desktop 12 SP2 Novell Inc. Suse Linux Enterprise Server 12 SP2 Novell Inc. Suse Linux Enterprise Server 15-LTSS Novell Inc. Suse Linux Enterprise Desktop 12 SP1 Novell Inc. Suse Linux Enterprise Server 12 SP1 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 Novell Inc. Suse Linux Enterprise Desktop 11 SP4 Novell Inc. Suse Linux Enterprise Server 11 SP3 Novell Inc. Suse Linux Enterprise Desktop 12 Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Novell Inc. Suse Linux Enterprise Server 15 SP1 Novell Inc. Suse Linux Enterprise Server 12 Novell Inc. Suse Linux Enterprise Server 15 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 Novell Inc. Suse Linux Enterprise Desktop 15 SP3 Novell Inc. Suse Linux Enterprise Server 15 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 Novell Inc. Suse Linux Enterprise Server 15 SP4 Novell Inc. Suse Linux Enterprise Desktop 15 SP2 Novell Inc. Suse Linux Enterprise Desktop 15 SP4 Novell Inc. Suse Linux Enterprise Server 15 Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS Novell Inc. Suse Linux Enterprise Desktop 15 SP1 Novell Inc. Suse Linux Enterprise Desktop 15 Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5 Novell Inc. Suse Linux Enterprise Server 15 SP5 Novell Inc. Suse Linux Enterprise Desktop 15 SP5
Тип ошибки	Неверная инициализация
Идентификатор типа ошибки	CWE-665
Класс уязвимости	Уязвимость кода
Дата выявления	24.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Python: https://mail.python.org/archives/list/security-announce@python.org/thread/PEPLII27KYHLF4AK3ZQGKYNCRERG4YXY/ Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-40217.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://mail.python.org/archives/list/security-announce@python.org/thread/PEPLII27KYHLF4AK3ZQGKYNCRERG4YXY/ https://github.com/python/cpython/issues/108310 https://vuldb.com/ru/?id.237916 https://www.suse.com/security/cve/CVE-2023-40217.html https://sethmlarson.dev/security-developer-in-residence-weekly-report-8
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-40217
Прочая информация	Данные уточняются

Последние изменения