ГлавнаяБаза уязвимостей БДУ → BDU:2021-00936
7.8высокая

BDU:2021-00936 (CVE-2020-24583)

Уязвимость реализации режима FILE_UPLOAD_DIRECTORY_PERMISSIONS программной платформы для веб-приложений Django, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2021-02-23
Описание

Уязвимость реализации режима FILE_UPLOAD_DIRECTORY_PERMISSIONS программной платформы для веб-приложений Django связана с неправильными настройками прав доступа по умолчанию. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Hyperion Planning (11.1.2.4)Ubuntu (20.04 LTS)Enterprise Manager Ops Center (12.4.0.0)Sun ZFS Storage Appliance Kit (8.8)Django (от 2.2 до 2.2.16)Django (от 3.0 до 3.0.10)Django (от 3.1 до 3.1.1)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для Django:
Обновление программной платформы для веб-приложений Django до более актуальной версии

Для Ubuntu:
https://usn.ubuntu.com/4479-1/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для ОСОН Основа:
Обновление программного обеспечения python-django до версии 2:2.2.24-1~bpo10+1

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет python-django до 1:1.10.7-2+deb9u22+ci202408201751+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2020-24583https://usn.ubuntu.com/4479-1/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MDhttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена