ГлавнаяБаза уязвимостей БДУ → BDU:2019-02825
10критическая

BDU:2019-02825 (CVE-2019-10160)

Уязвимость функций urllib.parse.urlsplit и urllib.parse.urlparse интерпретатора языка программирования Python, позволяющая нарушителю раскрыть защищаемую информацию, читать или записывать произвольные данные, или вызвать отказ в обслуживании
Опубликовано: 2019-08-08
Описание

Уязвимость функций urllib.parse.urlsplit и urllib.parse.urlparse интерпретатора языка программирования Python связана с ошибками управления регистрационными данными. Эксплуатация уязвимость может позволить раскрыть защищаемую информацию, читать или записывать произвольные данные, или вызвать отказ в обслуживании Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7.0)Debian GNU/Linux (9)Python (2.7)Astra Linux Special Edition (1.6 «Смоленск»)Python (3.5)Python (3.6)Python (3.7)Python (от 3.8.0a4 до 3.8.0b1 включительно)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:

Для Python:
https://github.com/python/cpython/commit/8d0ef0b5edeae52960c7ed05ae8a12388324f87e

Для Red Hat Enterprise Linux: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10160

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-10160

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения python3.5 до версии 3.5.3-1+osnova10
Обновление программного обеспечения python2.7 до версии 2.7.13-2+osnova10

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2019-10160https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10160https://github.com/python/cpython/commit/250b62acc59921d399f0db47db3b462cd6037e09https://github.com/python/cpython/commit/8d0ef0b5edeae52960c7ed05ae8a12388324f87ehttps://github.com/python/cpython/commit/f61599b050c621386a3fc6bc480359e2d3bb93dehttps://github.com/python/cpython/commit/fd1771dbdd28709716bd531580c40ae5ed814468https://nvd.nist.gov/vuln/detail/CVE-2019-10160https://python-security.readthedocs.io/vuln/urlsplit-nfkc-normalization2.html
Проверьте безопасность своего сайта и почты → Полная проверка домена