BDU:2023-06977: Уязвимость модуля urllib3 интерпретатора языка программирования Python, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости

Уязвимость модуля urllib3 интерпретатора языка программирования Python связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Вендор

ООО «Ред Софт», Python Software Foundation

Версия ПО

  • 7.3 (РЕД ОС)
  • до 1.26.17 включительно (urllib3)
  • до 2.0.6 велючительно (urllib3)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Раскрытие информации

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

17.10.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- отключение переадресации для служб, которые, как вы ожидаете, не будут отвечать переадресациями с помощью redirects=False;
- отключение автоматические перенаправления с помощью redirects=False и обработайте 303 перенаправления вручную, удалив тело HTTP-запроса.

Обновление до исправленной версии urllib3 (1.26.18 или 2.0.7).

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Способ эксплуатации

  • Несанкционированный сбор информации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения