ГлавнаяБаза уязвимостей БДУ → BDU:2023-00662
4средняя

BDU:2023-00662 (CVE-2023-23969)

Уязвимость программной платформы для веб-приложений Django, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-02-10
Описание

Уязвимость программной платформы для веб-приложений Django связана с неограниченным распределением ресурсов при обработке заголовка Accept-Language. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Astra Linux Special Edition (4.7)Ubuntu (22.10)Django (до 3.2.17)Django (от 4.0.0 до 4.0.9)Django (от 4.1.0 до 4.1.6)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2023/feb/01/security-releases/
https://github.com/django/django/commit/c7e0151fdf33e1b11d488b6f67b94fdf3a30614a
https://github.com/django/django/commit/4452642f193533e288a52c02efb5bbc766a68f95
https://github.com/django/django/commit/9d7bd5a56b1ce0576e8e07a8001373576d277942

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2023-23969

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5837-1
https://ubuntu.com/security/notices/USN-5837-2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для Astra Linux 1.6 «Смоленск»:
обновить пакет python-django до 1:1.10.7-2+deb9u21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u2

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2023-23969https://ubuntu.com/security/notices/USN-5837-1https://ubuntu.com/security/notices/USN-5837-2https://github.com/django/django/commit/c7e0151fdf33e1b11d488b6f67b94fdf3a30614ahttps://www.openwall.com/lists/oss-security/2023/02/01/4https://www.djangoproject.com/weblog/2023/feb/01/security-releases/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена