ГлавнаяБаза уязвимостей БДУ → BDU:2020-01765
7.8высокая

BDU:2020-01765 (CVE-2019-14232)

Уязвимость функции django.utils.text.Truncator методов chars () и words () фреймворка для веб-разработки Django, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-04-23
Описание

Уязвимость функции django.utils.text.Truncator методов chars () и words () фреймворка для веб-разработки Django связана с ошибочной передачей значения True аргументу html. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)SUSE OpenStack Cloud (7)OpenSUSE Leap (15.1)Fedora (30)SUSE OpenStack Cloud (8)Debian GNU/Linux (8)SUSE OpenStack Cloud (Crowbar 8)HPE Helion Openstack (8)Django (от 1.11 до 1.11.23)Django (от 2.1 до 2.1.11)Django (от 2.2 до 2.2.4)SUSE OpenStack Cloud (9)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)SUSE OpenStack Cloud (Crowbar 9)ОС ОН «Стрелец» (до 16.01.2023)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Использование рекомендаций:
Для Django:
Обновление программного обеспечения до 2:2.2.4-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета python-django) до 1:1.11.23-1~deb10u1 или более поздней версии

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-14232/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения python-django до версии 2:2.1.15-1osnova0

Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u8

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.suse.com/security/cve/CVE-2019-14232/https://access.redhat.com/security/cve/CVE-2019-14232https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/STVX7X7IDWAH5SKE6MBMY3TEI6ZODBTK/https://nvd.nist.gov/vuln/detail/CVE-2019-14232https://security-tracker.debian.org/tracker/CVE-2019-14232https://www.djangoproject.com/weblog/2019/aug/01/security-releases/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена