| Описание уязвимости | Уязвимость интерпретатора языка программирования Python связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании |
| Вендор | ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Python Software Foundation, АО "НППКТ" |
| Наименование ПО | Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Python, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913) |
| Версия ПО | 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 10.0 (Debian GNU/Linux), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), от 2.7.0 до 2.7.17 включительно (Python), от 3.5.0 до 3.5.9 включительно (Python), от 3.6.0 до 3.6.10 включительно (Python), от 3.7.0 до 3.7.6 включительно (Python), от 3.8.0 до 3.8.1 включительно (Python), 1.7 (Astra Linux Special Edition), 4.7 (Astra Linux Special Edition), до 2.6 (ОСОН ОСнова Оnyx) |
| Тип ПО | Операционная система, Прикладное ПО информационных систем |
| Операционные системы и аппаратные платформы |
|
| Тип ошибки | Неконтролируемый расход ресурса («Истощение ресурса») |
| Идентификатор типа ошибки | CWE-400 |
| Класс уязвимости | Уязвимость кода |
| Дата выявления | 11.09.2020 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5) |
| Возможные меры по устранению уязвимости |
Для Python:
Использование рекомендаций производителя: https://github.com/python/cpython/pull/18284 Для Debian: Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-8492 Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения python2.7 до версии 2.7.18-13.1osnova8u1 |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Существует в открытом доступе |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники |
https://bugs.python.org/issue39503
https://github.com/python/cpython/pull/18284
https://nvd.nist.gov/vuln/detail/CVE-2020-8492
https://python-security.readthedocs.io/vuln/urllib-basic-auth-regex.html
https://security-tracker.debian.org/tracker/CVE-2020-8492
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
|
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |