ГлавнаяБаза уязвимостей БДУ → BDU:2023-03582
10критическая

BDU:2023-03582 (CVE-2023-31047)

Уязвимость компонентов forms.FileField, forms.ImageField программной платформы для веб-приложений Django, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2023-07-06
Описание

Уязвимость компонентов forms.FileField, forms.ImageField программной платформы для веб-приложений Django связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (14.04 ESM)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Satellite (6)Ubuntu (22.04 LTS)Fedora (37)Astra Linux Special Edition (4.7)Ubuntu (22.10)Fedora (38)Red Hat Update Infrastructure for Cloud Providers (4)Ubuntu (18.04 ESM)Ubuntu (23.04)Django (от 4.2 до 4.2.1)Django (от 4.1 до 4.1.9)Django (от 3.2 до 3.2.19)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:

Для Django:
https://docs.djangoproject.com/en/4.2/releases/security/
https://www.djangoproject.com/weblog/2023/may/03/security-releases/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-31047

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-31047

Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2023-31047
https://ubuntu.com/security/notices/USN-6054-1
https://ubuntu.com/security/notices/USN-6054-2

Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A45VKTUVQ2BN6D5ZLZGCM774R6QGFOHW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DNEHD6N435OE2XUFGDAAVAXSYWLCUBFD/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для Astra Linux 1.6 «Смоленск»:
обновить пакет python-django до 1:1.10.7-2+deb9u21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u2

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB2023052531https://safe-surf.ru/specialists/bulletins-nkcki/693098/https://groups.google.com/g/django-announcehttps://docs.djangoproject.com/en/4.2/releases/security/https://www.djangoproject.com/weblog/2023/may/03/security-releases/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://redos.red-soft.ru/support/secure/https://security-tracker.debian.org/tracker/CVE-2023-31047
Проверьте безопасность своего сайта и почты → Полная проверка домена