ГлавнаяБаза уязвимостей БДУ → BDU:2021-05276
5средняя

BDU:2021-05276 (CVE-2021-28658)

Уязвимость компонента MultiPartParser программной платформы для веб-приложений Django, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2021-11-02
Описание

Уязвимость компонента MultiPartParser программной платформы для веб-приложений Django связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным с помощью файлов со специально созданными именами

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Django (от 2.2 до 2.2.20)Django (от 3.0 до 3.0.14)Django (от 3.1 до 3.1.8)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Для Django:
использование рекомендаций производителя: https://www.djangoproject.com/weblog/2021/apr/06/security-releases/

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-28658

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН Основа:
Обновление программного обеспечения python-django до версии 2:2.2.24-1~bpo10+1

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет python-django до 1:1.10.7-2+deb9u17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://docs.djangoproject.com/en/3.1/releases/security/https://github.com/django/django/commit/d4d800ca1addc4141e03c5440a849bb64d1582cdhttps://nvd.nist.gov/vuln/detail/CVE-2021-28658https://security-tracker.debian.org/tracker/CVE-2021-28658https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://www.djangoproject.com/weblog/2021/apr/06/security-releases/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена