ГлавнаяБаза уязвимостей БДУ → BDU:2019-03594
10критическая

BDU:2019-03594 (CVE-2019-14234)

Уязвимость функций django.contrib.postgres.fields.HStoreField и django.contrib.postgres.fields.JSONField фреймворка Django, связанная с отсутствием мер по защите структуры запроса SQL, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании
Опубликовано: 2019-10-16
Описание

Уязвимость функций django.contrib.postgres.fields.HStoreField и django.contrib.postgres.fields.JSONField фреймворка для веб-разработки Django связана с ошибкой преобразовании и поиска ключей, а так же поиска индексов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)SUSE OpenStack Cloud (7)OpenSUSE Leap (15.1)Fedora (30)SUSE OpenStack Cloud (8)Debian GNU/Linux (8)SUSE OpenStack Cloud (Crowbar 8)HPE Helion Openstack (8)Django (от 1.11 до 1.11.23)Django (от 2.1 до 2.1.11)Django (от 2.2 до 2.2.4)SUSE OpenStack Cloud (9)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)SUSE OpenStack Cloud (Crowbar 9)Red Hat OpenStack Platform (15 (Stein))ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Django:

Обновление программного обеспечения до 2:2.2.4-1 или более поздней версии



Для Debian:

Обновление программного обеспечения (пакета python-django) до 1:1.10.7-2+deb9u6 или более поздней версии



Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/

Для Astra Linux:
Обновление программного обеспечения (пакета python-django) до 1:1.10.7-2+deb9u6 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14234

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-14234/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения python-django до версии 2:2.1.15-1osnova0

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2019-14234https://www.suse.com/security/cve/CVE-2019-14234/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/https://nvd.nist.gov/vuln/detail/CVE-2019-14234https://security-tracker.debian.org/tracker/CVE-2019-14234https://www.djangoproject.com/weblog/2019/aug/01/security-releases/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена