Уязвимость BDU:2022-01768
Идентификатор: BDU:2022-01768.
Наименование уязвимости: Уязвимость функционала форматирования модуля парсера SQL для Python Sqlparse, позволяющая нарушителю вызвать отказ в обслуживании.
Описание уязвимости: Уязвимость функционала форматирования модуля парсера SQL для Python Sqlparse связана с некорректной обработкой множественных повторений ‘rn’ в комментариях SQL. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Debian GNU/Linux 10 | Операционная система Debian GNU/Linux 11 | Операционная система АО «ИВК» Альт 8 СП — | Прикладное ПО информационных систем Sqlparse от 0.4.0 до 0.4.2 |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Debian GNU/Linux 10 | Debian GNU/Linux 11 | Альт 8 СП — |
Дата выявления: 20.09.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению:
Для Sqlparse:
использование рекомендаций производителя: https://github.com/andialbrecht/sqlparse/security/advisories/GHSA-p5w8-wqhj-9hhf
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-32839
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-32839.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/andialbrecht/sqlparse/commit/8238a9e450ed1524e40cb3a8b0b3c00606903aeb
https://github.com/andialbrecht/sqlparse/security/advisories/GHSA-p5w8-wqhj-9hhf
https://nvd.nist.gov/vuln/detail/CVE-2021-32839
https://security-tracker.debian.org/tracker/CVE-2021-32839
https://altsp.su/obnovleniya-bezopasnosti/
