ГлавнаяБаза уязвимостей БДУ → BDU:2020-05726
9высокая

BDU:2020-05726 (CVE-2020-9402)

Уязвимость библиотеки Django для языка программирования Python, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-12-18
Описание

Уязвимость библиотеки Django для языка программирования Python связана с недостаточной защитой структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE OpenStack Cloud (8)SUSE OpenStack Cloud Crowbar (8)Red Hat Satellite (6.0)Debian GNU/Linux (10)Ubuntu (19.10)SUSE OpenStack Cloud (9)SUSE OpenStack Cloud Crowbar (9)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Django (от 1.11 до 1.11.29)Django (от 2.2 до 2.2.11)Django (от 3.0 до 3.0.4)
Способ устранения

Использование рекомендаций производителя:
Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9402

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/

Для Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-9402/

Для Debian GNU\Linux
https://security-tracker.debian.org/tracker/CVE-2020-9402

Для Ubuntu:
https://ubuntu.com/security/CVE-2020-9402

Для DjangoProject:
https://www.djangoproject.com/weblog/2020/mar/04/security-releases/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет python-django до 1:1.10.7-2+deb9u17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-9402https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4A2AP4T7RKPBCLTI2NNQG3T6MINDUUMZ/https://www.suse.com/security/cve/CVE-2020-9402/https://security-tracker.debian.org/tracker/CVE-2020-9402https://ubuntu.com/security/CVE-2020-9402https://www.djangoproject.com/weblog/2020/mar/04/security-releases/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена