ГлавнаяБаза уязвимостей БДУ → BDU:2023-02445
5.4средняя

BDU:2023-02445 (CVE-2022-40897)

Уязвимость инструментов установки пакетов Python Packaging Authority, связанная с некорректным регулярным выражением, позволяющая нарушителю вызывать отказ в обслуживании
Опубликовано: 2023-05-10
Описание

Уязвимость инструментов установки пакетов Python Packaging Authority связана с недостаточной проверкой ввода при обработке содержимого HTML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданные данные и выполнить атаку типа «отказ в обслуживании» с помощью регулярных выражений

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Fedora (36)Fedora (37)РОСА Кобальт (7.9)ROSA Virtualization (2.1)setuptools (до 65.5.1)АЛЬТ СП 10harbor (2.7.0)Android Studio (2025.2.3.9)
Способ устранения

Использование рекомендаций:
Для Python:
https://github.com/pypa/setuptools/commit/43a9c9bfa6aa626ec2a22540bea28d2ca77964be

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ADES3NLOE5QJKBLGNZNI2RGVOSQXA37R/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YNA2BAH2ACBZ4TVJZKFLCR7L23BG5C3H/

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для ОС Astra Linux Special Edition 1.7:
обновить пакет python-setuptools до 40.8.0-1+ci202309141723+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2512

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2512

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2500

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2499

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://github.com/pypa/setuptools/blob/fe8a98e696241487ba6ac9f91faa38ade939ec5d/setuptools/package_index.py#L200https://github.com/pypa/setuptools/commit/43a9c9bfa6aa626ec2a22540bea28d2ca77964behttps://github.com/pypa/setuptools/compare/v65.5.0...v65.5.1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ADES3NLOE5QJKBLGNZNI2RGVOSQXA37R/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YNA2BAH2ACBZ4TVJZKFLCR7L23BG5C3H/https://pyup.io/posts/pyup-discovers-redos-vulnerabilities-in-top-python-packages/https://pyup.io/vulnerabilities/CVE-2022-40897/52495/https://security.netapp.com/advisory/ntap-20230214-0001/
Проверьте безопасность своего сайта и почты → Полная проверка домена