ГлавнаяБаза уязвимостей БДУ → BDU:2022-02302
7.8высокая

BDU:2022-02302 (CVE-2022-0391)

Уязвимость модуля urllib.parse интерпретатора языка программирования Python, позволяющая нарушителю внедрить произвольные данные в ответ сервера
Опубликовано: 2022-04-14
Описание

Уязвимость модуля urllib.parse интерпретатора языка программирования Python связана с неприятием мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданные данные, содержащие символы CR-LF, и изменить поведение приложения

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Debian GNU/Linux (10)Red Hat Software CollectionsUbuntu (20.04 LTS)Fedora (34)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Fedora (35)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Python (до 3.6.14)Python (от 3.7.0 до 3.7.11)Python (от 3.8.0 до 3.8.11)Python (от 3.9.0 до 3.9.5)Python (от 3.10.0 alpha1 до 3.10.0 alpha6)Ubuntu (22.04 LTS)ОСОН ОСнова Оnyx (до 2.6)РОСА Кобальт (7.9)Ubuntu (18.04 ESM)РОСА ХРОМ (12.4)ОСОН ОСнова Оnyx (до 2.13)
Способ устранения

Использование рекомендаций:
Для Python:
https://bugs.python.org/issue43882

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0391

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-0391

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5342-1
https://ubuntu.com/security/notices/USN-5342-2

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CSD2YBXP3ZF44E44QMIIAR5VTO35KTRB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UDBDBAU6HUPZHISBOARTXZ5GKHF2VH5U/

Для РОСА «Кобальт»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2203

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u3osnova9u3

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2646

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bugs.python.org/issue43882http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://security-tracker.debian.org/tracker/CVE-2022-0391https://access.redhat.com/security/cve/CVE-2022-0391https://ubuntu.com/security/notices/USN-5342-1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CSD2YBXP3ZF44E44QMIIAR5VTO35KTRB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UDBDBAU6HUPZHISBOARTXZ5GKHF2VH5U/https://goslinux.fssp.gov.ru/2726972/
Проверьте безопасность своего сайта и почты → Полная проверка домена