ГлавнаяБаза уязвимостей БДУ → BDU:2021-00766
10критическая

BDU:2021-00766 (CVE-2019-7164)

Уязвимость библиотеки для работы с реляционными СУБД SQLAlchemy, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-02-16
Описание

Уязвимость библиотеки для работы с реляционными СУБД SQLAlchemy связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)SQLAlchemy (до 1.2.17 включительно)Oracle Communications Operations Monitor (4.2)Oracle Communications Operations Monitor (4.3)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций производителя:
Для SQLAlchemy:
https://github.com/sqlalchemy/sqlalchemy/issues/4481

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-7164

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-7164

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-7164/

Для Ubuntu:
https://ubuntu.com/security/CVE-2019-7164

Для ОС ОН «Стрелец»:
Обновление программного обеспечения sqlalchemy до версии 1.0.15+ds1-1+deb9u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://security-tracker.debian.org/tracker/CVE-2019-7164https://ubuntu.com/security/CVE-2019-7164https://www.suse.com/security/cve/CVE-2019-7164/https://github.com/sqlalchemy/sqlalchemy/issues/4481https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена