BDU:2023-06977: Уязвимость модуля urllib3 интерпретатора языка программирования Python, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости Уязвимость модуля urllib3 интерпретатора языка программирования Python связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
Вендор ООО «Ред Софт», Python Software Foundation
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), urllib3
Версия ПО 7.3 (РЕД ОС), до 1.26.17 включительно (urllib3), до 2.0.6 велючительно (urllib3)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие информации
Идентификатор типа ошибки CWE-200
Класс уязвимости Уязвимость кода
Дата выявления 17.10.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:A/AC:H/Au:M/C:C/I:N/A:N
  • CVSS 3.0: AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- отключение переадресации для служб, которые, как вы ожидаете, не будут отвечать переадресациями с помощью redirects=False;
- отключение автоматические перенаправления с помощью redirects=False и обработайте 303 перенаправления вручную, удалив тело HTTP-запроса.

Обновление до исправленной версии urllib3 (1.26.18 или 2.0.7).

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются