ГлавнаяБаза уязвимостей БДУ → BDU:2023-02343
6.5средняя

BDU:2023-02343

Уязвимость библиотеки веб-приложения WSGI Werkzeug связана с распределением ресурсов без ограничений или регулирования, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-05-04
Описание

Уязвимость библиотеки веб-приложения WSGI Werkzeug связана с тем, что приложение не контролирует должным образом потребление внутренних ресурсов при разборе данных составной формы с большим количеством полей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать исчерпание ресурсов и выполнить атаку типа «отказ в обслуживании»

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)РОСА Кобальт (7.9)Werkzeug (до 2.2.3)Red Hat OpenShift Container Platform (от 4.11.0 до 4.11.36)Red Hat package (до 2.0.3-5.el8)Red Hat package (до 4.11.0-202304070715.p0.g93daed6.assembly.stream.el8)Red Hat package (до 4.11.0-202304070715.p0.gdea6f47.assembly.stream.el8)Red Hat package (о 4.11.0-202304070715.p0.gdf73941.assembly.stream.el8)Red Hat package (до 4.11.0-202304082115.p0.gceaf338.assembly.stream.el8)Red Hat package (до 4.11.0-202304070715.p0.ga0f9090.assembly.stream.el8)IBM Cloud Pak for Data System (до 1.0.0.0 до 1.0.7.8)ОСОН ОСнова Оnyx (до 2.8)АЛЬТ СП 10
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Использование рекомендаций:
Для Pallets Werkzeug:
Запретить использование в ОС пакета python3-werkzeug
или
Установить обновление для пакета(ов) python3-werkzeug

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Red Hat package:
https://51.159.195.115/errata/RHBA-2023:1759?__cpo=aHR0cDovL2FjY2Vzcy5yZWRoYXQuY29t

Для IBM Cloud Pak for Data System:
https://195.3.223.166/support/pages/node/6980339?__cpo=aHR0cDovL3d3dy5pYm0uY29t

Для Oracle Communications Cloud Native Core Policy:
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-werkzeug до версии 0.14.1+dfsg1-4+deb10u2

Для ОС Astra Linux Special Edition 1.7:
обновить пакет python-werkzeug до 0.14.1+dfsg1-4+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2530

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2530

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл6.5 — средняя опасность
Источники и патчи
https://51.159.195.115/errata/RHBA-2023:1759?__cpo=aHR0cDovL2FjY2Vzcy5yZWRoYXQuY29thttps://github.com/pallets/werkzeug/security/advisories/GHSA-xg9f-g7g7-2323https://github.com/pallets/werkzeug/releases/tag/2.2.3https://github.com/pallets/werkzeug/commit/517cac5a804e8c4dc4ed038bb20dacd038e7a9f1http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.htmlhttps://www.oracle.com/security-alerts/cpuapr2023.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Проверьте безопасность своего сайта и почты → Полная проверка домена