БДУ - Print

BDU:2020-01767: Уязвимость модуля HTMLParser функции django.utils.html.strip_tags фреймворка для веб-разработки Django, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость модуля HTMLParser функции django.utils.html.strip_tags фреймворка для веб-разработки Django связана с ошибкой медленного оценивания больших входных данных, которые содержат большие последовательности неполных HTML объектов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, Fedora Project, Django Software Foundation
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE OpenStack Cloud, Debian GNU/Linux, OpenSUSE Leap, Fedora, HPE Helion Openstack, Django, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition), 7 (SUSE OpenStack Cloud), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 15.1 (OpenSUSE Leap), 30 (Fedora), 8 (SUSE OpenStack Cloud), Crowbar 8 (SUSE OpenStack Cloud), 8 (HPE Helion Openstack), от 1.11 до 1.11.23 (Django), от 2.1 до 2.1.11 (Django), от 2.2 до 2.2.4 (Django), 9 (SUSE OpenStack Cloud), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), Crowbar 9 (SUSE OpenStack Cloud)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана Novell Inc. OpenSUSE Leap 15.1 Не указана Fedora Project Fedora 30 Не указана ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» Не указана (запись в едином реестре российских программ №11156)
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	02.08.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Django: Обновление программного обеспечения до 2:2.2.4-1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-14233/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.suse.com/security/cve/CVE-2019-14233/ https://access.redhat.com/security/cve/CVE-2019-14233 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/ https://nvd.nist.gov/vuln/detail/CVE-2019-14233 https://security-tracker.debian.org/tracker/CVE-2019-14233 https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-14233
Прочая информация	Данные уточняются