24.03.2020

Уязвимость BDU:2020-02851

Идентификатор: BDU:2020-02851.

Наименование уязвимости: Уязвимость метода full_load и загрузчика FullLoader библиотеки PyYAML, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость метода full_load и загрузчика FullLoader библиотеки PyYAML существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Операционная система Novell Inc. OpenSUSE Leap 15.1 | Операционная система Fedora Project Fedora 30 | Операционная система Fedora Project Fedora 31 | Операционная система Fedora Project Fedora 32 | Прикладное ПО информационных систем PyYAML до 5.3.1 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.12 |

Наименование ОС и тип аппаратной платформы: OpenSUSE Leap 151 | Fedora 30 | Fedora 31 | Fedora 32 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 | Альт 8 СП — | ОСОН ОСнова Оnyx до 212 |
Дата выявления: 24.03.2020.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для PyYAML:
https://github.com/yaml/pyyaml/pull/386

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00017.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/K5HEPD7LEVDPCITY5IMDYWXUMX37VFMY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WORRFHPQVAFKKXXWLSSW6XKUYLWM6CSH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZBJA3SGNJKCAYPSHOHWY3KBCWNM5NYK2/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Обновление программного обеспечения pyyaml до версии 5.3.1-5osnova2u1

Для ОС Astra Linux:
обновить пакет pyyaml до 5.1.2-1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет pyyaml до 5.1.2-1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-1747.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/cve-2020-1747
https://github.com/yaml/pyyaml/pull/386
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00017.html
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00017.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/K5HEPD7LEVDPCITY5IMDYWXUMX37VFMY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WORRFHPQVAFKKXXWLSSW6XKUYLWM6CSH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZBJA3SGNJKCAYPSHOHWY3KBCWNM5NYK2/
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE56

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: