BDU:2021-00719: Уязвимость реализации функции ForeignKeyRawIdWidget библиотеки Django, позволяющая нарушителю проводить межсайтовые сценарные атаки

Описание уязвимости Уязвимость реализации функции ForeignKeyRawIdWidget библиотеки Django связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки
Вендор Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Fedora Project, Oracle Corp., Django Software Foundation
Наименование ПО Ubuntu, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Fedora, Enterprise Manager Ops Center, Sun ZFS Storage Appliance Kit, Hyperion Infrastructure Technology, Django
Версия ПО 16.04 LTS (Ubuntu), 9 (Debian GNU/Linux), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 14.04 ESM (Ubuntu), 10 (Debian GNU/Linux), 19.10 (Ubuntu), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 32 (Fedora), 20.04 LTS (Ubuntu), 12.4.0.0 (Enterprise Manager Ops Center), 8.8 (Sun ZFS Storage Appliance Kit), 11.1.2.4 (Hyperion Infrastructure Technology), от 2.2 до 2.2.13 (Django), от 3.0 до 3.0.7 (Django)
Тип ПО Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 16.04 LTS 32-bit
  • Canonical Ltd. Ubuntu 16.04 LTS Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9 Не указана
  • Canonical Ltd. Ubuntu 18.04 LTS Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана
  • Canonical Ltd. Ubuntu 14.04 ESM Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана
  • Canonical Ltd. Ubuntu 19.10 Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» Не указана (запись в едином реестре российских программ №11156)
  • Fedora Project Fedora 32 Не указана
  • Canonical Ltd. Ubuntu 20.04 LTS Не указана
Тип ошибки Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)
Идентификатор типа ошибки CWE-79
Класс уязвимости Уязвимость кода
Дата выявления 06.06.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N
    CVSS 3.0: Вектор не задан
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Django:
https://docs.djangoproject.com/en/3.0/releases/security/
https://www.djangoproject.com/weblog/2020/jun/03/security-releases/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/

Для Ubuntu:
https://usn.ubuntu.com/4381-1/
https://usn.ubuntu.com/4381-2/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-13596

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются