ГлавнаяБаза уязвимостей БДУ → BDU:2022-02303
6.4средняя

BDU:2022-02303 (CVE-2021-4189)

Уязвимость клиентской библиотеки FTP (File Transfer Protocol) интерпретатора языка программирования Python, позволяющая нарушителю выполнять SSRF-атаки
Опубликовано: 2022-04-14
Описание

Уязвимость клиентской библиотеки FTP (File Transfer Protocol) интерпретатора языка программирования Python, связана с недостаточной проверки введенных пользователем данных в библиотеке FTP (File Transfer Protocol) при использовании ее в PASV (пассивном) режиме. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, настроить вредоносный FTP-сервер, обманом заставить FTP-клиент на Python подключиться к заданному IP-адресу и порту, что может привести к сканированию портов FTP-клиентом

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Debian GNU/Linux (10)Red Hat Software CollectionsUbuntu (20.04 LTS)Fedora (34)Ubuntu (16.04 ESM)Python (от 3.9.0 до 3.9.3)Debian GNU/Linux (11)Fedora (35)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Python (до 3.6.14)Python (от 3.7.0 до 3.7.11)Python (от 3.8 до 3.8.9)Python (до 3.10.0)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)ОСОН ОСнова Оnyx (до 2.9)ОСОН ОСнова Оnyx (до 2.13)
Способ устранения

Использование рекомендаций:
Для Python:
https://github.com/python/cpython/commit/0ab152c6b5d95caa2dc1a30fa96e10258b5f188e

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-4189

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-4189

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5342-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CSD2YBXP3ZF44E44QMIIAR5VTO35KTRB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UDBDBAU6HUPZHISBOARTXZ5GKHF2VH5U/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python2.7 до версии 2.7.18-13.1osnova8u1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u3osnova9u3

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u5.osnova12

Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет python2.7 до 2.7.13-2+deb9u6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет python3.5 до 3.5.3-1+deb9u9+ci202403261641+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://bugs.python.org/issue43285http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://security-tracker.debian.org/tracker/CVE-2021-4189https://access.redhat.com/security/cve/CVE-2021-4189https://ubuntu.com/security/notices/USN-5342-1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CSD2YBXP3ZF44E44QMIIAR5VTO35KTRB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UDBDBAU6HUPZHISBOARTXZ5GKHF2VH5U/https://github.com/python/cpython/commit/0ab152c6b5d95caa2dc1a30fa96e10258b5f188e
Проверьте безопасность своего сайта и почты → Полная проверка домена