ГлавнаяБаза уязвимостей БДУ → BDU:2021-05245
4средняя

BDU:2021-05245 (CVE-2021-33203)

Уязвимость функции TemplateDetailView компонента django/contrib/admindocs программной платформы для веб-приложений Django, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2021-10-29
Описание

Уязвимость функции TemplateDetailView компонента django/contrib/admindocs программной платформы для веб-приложений Django связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Django (до 2.2.24)Django (от 3.0.0 до 3.1.12)Django (от 3.2.0 до 3.2.4)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Для Django:
использование рекомендаций производителя: https://www.openwall.com/lists/oss-security/2021/06/02/1

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-33203

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН Основа:
Обновление программного обеспечения python-django до версии 2:2.2.24-1~bpo10+1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет python-django до 1:1.10.7-2+deb9u17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС Astra Linux:
обновить пакет python-django до 1:1.11.29-1+deb10u11+ci202404121704+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет python-django до 1:1.11.29-1+deb10u11+ci202404121704+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/django/django/commit/46572de2e92fdeaf047f80c44d52269e54ad68dbhttps://nvd.nist.gov/vuln/detail/CVE-2021-33203https://security-tracker.debian.org/tracker/CVE-2021-33203https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://www.djangoproject.com/weblog/2021/jun/02/security-releases/https://www.openwall.com/lists/oss-security/2021/06/02/1https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена