Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05150: Уязвимость компонентов clone/clone_from библиотеки Python для взаимодействия с git-репозиториями GitPython, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость компонентов clone/clone_from библиотеки Python для взаимодействия с git-репозиториями GitPython связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем внедрения специально сформированного URL-адреса в команду клонирования
Вендор	Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., Fedora Project
Наименование ПО	Ubuntu, Debian GNU/Linux, openSUSE Tumbleweed, Fedora, GitPython
Версия ПО	14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) - (openSUSE Tumbleweed) 20.04 LTS (Ubuntu) 16.04 ESM (Ubuntu) 11 (Debian GNU/Linux) 22.04 LTS (Ubuntu) 37 (Fedora) 38 (Fedora) 18.04 ESM (Ubuntu) 23.04 (Ubuntu) до 3.1.32 (GitPython)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. openSUSE Tumbleweed - Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 16.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 11 Canonical Ltd. Ubuntu 22.04 LTS Fedora Project Fedora 37 Fedora Project Fedora 38 Canonical Ltd. Ubuntu 18.04 ESM Canonical Ltd. Ubuntu 23.04
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	11.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование систем обнаружения и предотвращения вторжений для блокирования возможных последствий эксплуатации уязвимости; - использование средств межсетевого экранирования для ограничения удаленного доступа к недоверенным ресурсам (репозиториям); - использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости. Использование рекомендаций производителя: Для GitPython: https://github.com/gitpython-developers/GitPython/pull/1609 https://github.com/gitpython-developers/GitPython/commit/ca965ecc81853bca7675261729143f54e5bf4cdd Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-40267 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-40267.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AV5DV7GBLMOZT7U3Q4TDOJO5R6G3V6GH/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PF6AXUTC5BO7L2SBJMCVKJSPKWY52I5R/ Для Ubuntu: https://ubuntu.com/security/notices/USN-6326-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/gitpython-developers/GitPython/pull/1609 https://github.com/gitpython-developers/GitPython/commit/ca965ecc81853bca7675261729143f54e5bf4cdd https://security-tracker.debian.org/tracker/CVE-2023-40267 https://www.suse.com/security/cve/CVE-2023-40267.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AV5DV7GBLMOZT7U3Q4TDOJO5R6G3V6GH/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PF6AXUTC5BO7L2SBJMCVKJSPKWY52I5R/ https://ubuntu.com/security/notices/USN-6326-1
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-40267
Прочая информация	Данные уточняются

Последние изменения