ГлавнаяБаза уязвимостей БДУ → BDU:2020-01347
5высокая

BDU:2020-01347 (CVE-2019-16056)

Уязвимость модуля электронной почты интерпретатора языка программирования Python, позволяющая нарушителю принимать электронные сообщения от адресов электронной почты, которые должны быть отклонены
Опубликовано: 2020-04-06
Описание

Уязвимость модуля электронной почты интерпретатора языка программирования Python существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, принимать электронные сообщения от адресов электронной почты, которые должны быть отклонены

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Ubuntu (12.04 ESM)Ubuntu (19.04)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Fedora (30)Red Hat Enterprise Linux (7.5 EUS)Red Hat Enterprise Linux (7.6 EUS)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Python (до 2.7.16 включительно)Python (от 3.0.0 до 3.0.1 включительно)Python (от 3.1.0 до 3.1.5 включительно)Python (от 3.2.0 до 3.2.6 включительно)Python (от 3.3.0 до 3.3.7 включительно)Python (от 3.4.0 до 3.4.10 включительно)Python (от 3.5.0 до 3.5.7 включительно)Python (от 3.6.0 до 3.6.9 включительно)Python (от 3.7.0 до 3.7.4 включительно)
Способ устранения

Использование рекомендаций:
Для Python:
https://github.com/python/cpython/commit/8cb65d1381b027f0b09ee36bfed7f35bb4dec9a9
https://bugs.python.org/issue34155

Для Ubuntu:
https://usn.ubuntu.com/4151-1/
https://usn.ubuntu.com/4151-2/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4X3HW5JRZ7GCPSR7UHJOLD7AWLTQCDVR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BEARDOTXCYPYELKBD2KWZ27GSPXDI3GQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/COATURTCY7G67AYI6UDV5B2JZTBCKIDX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/E2HP37NUVLQSBW3J735A2DQDOZ4ZGBLY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ER6LONC2B2WYIO56GBQUDU6QTWZDPUNQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JCPGLTTOBB3QEARDX4JOYURP6ELNNA2V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/K4KZEFP6E4YPYB52AF4WXCUDSGQOTF37/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/K7HNVIFMETMFWWWUNTB72KYJYXCZOS5V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M34WOYCDKTDE5KLUACE2YIEH7D37KHRX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NF3DRDGMVIRYNZMSLJIHNW47HOUQYXVG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OYGESQSGIHDCIGOBVF7VXCMIE6YDWRYB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QASRD4E2G65GGEHYKVHYCXB2XWAGTNL4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QP46PQSUKYPGWTADQ67NOV3BUN6JM34Z/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SDQQ56P7ZZR64XV5DUVWNSNXKKEXUG2J/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZBTGPBUABGXZ7WH7677OEM3NSP6ZEA76/

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00062.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00063.html
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00012.html
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00021.html
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-16056
https://bugzilla.redhat.com/show_bug.cgi?id=1749839

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/09/msg00018.html
https://lists.debian.org/debian-lts-announce/2019/09/msg00019.html

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения python3.5 до версии 3.5.3-1+osnova10
Обновление программного обеспечения python2.7 до версии 2.7.13-2+osnova10

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00062.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-10/msg00063.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-11/msg00012.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-11/msg00021.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.htmlhttps://access.redhat.com/security/cve/cve-2019-16056https://bugs.python.org/issue34155https://bugzilla.redhat.com/show_bug.cgi?id=1749839
Проверьте безопасность своего сайта и почты → Полная проверка домена