СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
21.06.2024
#Dev#ИБ

Уязвимость BDU:2024-07169

Уязвимость BDU:2024-07169

Идентификатор: BDU:2024-07169.

Наименование уязвимости: Уязвимость функции django.utils.html.urlize() программной платформы для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции django.utils.html.urlize() программной платформы для веб-приложений Django связана с несоответствием параметров длины входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Прикладное ПО информационных систем Django Software Foundation Django от 5.0 до 5.0.7 | Прикладное ПО информационных систем Django Software Foundation Django от 4.2 до 4.2.14 |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» |
Дата выявления: 21.06.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
https://docs.djangoproject.com/en/dev/releases/security/
https://www.djangoproject.com/weblog/2024/jul/09/security-releases/
https://github.com/django/django/releases/tag/5.0.7
https://github.com/django/django/releases/tag/4.2.14
https://github.com/django/django/commit/7285644640f085f41d60ab0c8ae4e9153f0485db
https://github.com/django/django/commit/79f368764295df109a37192f6182fb6f361d85b5

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет python-django до 1:1.10.7-2+deb9u22+ci202408201751+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-38875.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://docs.djangoproject.com/en/dev/releases/security/
https://groups.google.com/forum/#%21forum/django-announce
https://www.djangoproject.com/weblog/2024/jul/09/security-releases/
https://github.com/advisories/GHSA-qg2p-9jwr-mmqf
https://vuldb.com/ru/?id.271011
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: