ГлавнаяБаза уязвимостей БДУ → BDU:2023-02446
7.8высокая

BDU:2023-02446 (CVE-2022-40899)

Уязвимость программы совместимости версий Python Charmers Future, связанная с некорректным регулярным выражением, позволяющая нарушителю вызывать отказ в обслуживании
Опубликовано: 2023-05-10
Описание

Уязвимость программы совместимости версий Python Charmers Future связана с неправильной проверкой ввода при обработке заголовка Set-Cookie. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить приложению специально созданный HTTP-запрос и выполнить атаку типа «отказ в обслуживании» (ReDoS) с использованием регулярных выражений

Затрагиваемое ПО и версии
Debian GNU/Linux (10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПpython-future (до 0.18.2 включительно)Astra Linux Special Edition (1.8)
Способ устранения

Использование рекомендаций:
Для Python:
https://pyup.io/posts/pyup-discovers-redos-vulnerabilities-in-top-python-packages/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40899

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/PythonCharmers/python-future/blob/master/src/future/backports/http/cookiejar.py#L215https://github.com/PythonCharmers/python-future/pull/610https://github.com/python/cpython/pull/17157https://pypi.org/project/future/https://pyup.io/posts/pyup-discovers-redos-vulnerabilities-in-top-python-packages/https://redos.red-soft.ru/support/secure/https://security-tracker.debian.org/tracker/CVE-2022-40899https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена