BDU:2020-01759: Уязвимость функции jango.utils.encoding.uri_to_iri фреймворка для веб-разработки Django, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции jango.utils.encoding.uri_to_iri фреймворка для веб-разработки Django связана с неправильным кодированием последовательностей октетов UTF-8, которое может привести к чрезмерному использованию памяти из-за рекурсии. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Fedora Project, Django Software Foundation, АО «Концерн ВНИИНС»
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE OpenStack Cloud, OpenSUSE Leap, Fedora, HPE Helion Openstack, Django, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 9 (Debian GNU/Linux), 1.6 «Смоленск» (Astra Linux Special Edition), 7 (SUSE OpenStack Cloud), 8.0 (Debian GNU/Linux), 15.1 (OpenSUSE Leap), 30 (Fedora), 8 (SUSE OpenStack Cloud), Crowbar 8 (SUSE OpenStack Cloud), 8 (HPE Helion Openstack), от 1.11 до 1.11.23 (Django), от 2.1 до 2.1.11 (Django), от 2.2 до 2.2.4 (Django), 9 (SUSE OpenStack Cloud), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), Crowbar 9 (SUSE OpenStack Cloud), до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки CWE-20
Класс уязвимости Уязвимость кода
Дата выявления 02.08.2019
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Django:
Обновление программного обеспечения до 2:2.2.4-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-14235/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения python-django до версии 2:2.1.15-1osnova0
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются