ГлавнаяБаза уязвимостей БДУ → BDU:2022-05761
6.8высокая

BDU:2022-05761 (CVE-2022-21699)

Уязвимость команды shell командной оболочки для интерактивных вычислений IPython, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2022-09-16
Описание

Уязвимость команды shell командной оболочки для интерактивных вычислений IPython связана с ошибками разграничения доступа. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)IPython (до 5.10.0 включительно)IPython (от 6.0.0 до 7.16.3)IPython (от 7.17.0 до 7.31.1)IPython (от 8.0.0 до 8.0.1)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для IPython:
использование рекомендаций производителя: https://github.com/ipython/ipython/commit/46a51ed69cdf41b4333943d9ceeb945c4ede5668

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-21699

Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16



Для ОСОН Основа:

Обновление программного обеспечения ipython до версии 5.8.0-1+deb10u1



Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет ipython до 5.1.0-3+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:

Обновление программного обеспечения ipython до версии 5.1.0-3+deb9u1

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://github.com/ipython/ipython/commit/1ec91ebf328bdf3450130de4b4604c79dc1e19d9https://github.com/ipython/ipython/commit/46a51ed69cdf41b4333943d9ceeb945c4ede5668https://github.com/ipython/ipython/commit/56665dfcf7df8690da46aab1278df8e47b14fe3bhttps://github.com/ipython/ipython/security/advisories/GHSA-pq7m-3gw7-gq5xhttps://ipython.readthedocs.io/en/stable/whatsnew/version8.html#ipython-8-0-1-cve-2022-21699https://nvd.nist.gov/vuln/detail/CVE-2022-21699https://security-tracker.debian.org/tracker/CVE-2022-21699https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена