ГлавнаяБаза уязвимостей БДУ → BDU:2023-04040
9высокая

BDU:2023-04040 (CVE-2022-39286)

Уязвимость ядра Jupyter Core среды интерактивной разработки и выполнения кода Jupyter Notebook, позволяющая нарушителю раскрыть защищаемую информацию, загружать и выполнять код с повышенными привилегиями
Опубликовано: 2023-07-26
Описание

Уязвимость ядра Jupyter Core среды интерактивной разработки и выполнения кода Jupyter Notebook связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию, загружать и выполнять код с повышенными привилегиями

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Fedora (36)Fedora (37)ОСОН ОСнова Оnyx (до 2.7)Jupyter Core (до 4.11.1 включительно)
Способ устранения

Использование рекомендаций:
Для Jupyter Core:
https://github.com/jupyter/jupyter_core/commit/1118c8ce01800cb689d51f655f5ccef19516e283
https://github.com/jupyter/jupyter_core/security/advisories/GHSA-m678-f26j-3hrp

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KKMP5OXXIX2QAUNVNJZ5UEQFKDYYJVBA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YIDN7JMLK6AOMBQI4QPSW4MBQGWQ5NIN/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/11/msg00022.html
https://www.debian.org/security/2023/dsa-5422

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jupyter-core до версии 4.4.0-2+deb10u1

Для Astra Linux 1.6 «Смоленск»:
обновить пакет jupyter-core до 4.2.1-1+ci202307181409+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux Special Edition 1.7:
обновить пакет jupyter-core до 4.4.0-2+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python2-traitlets-cve-2022-39286/?sphrase_id=1326995

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/jupyter/jupyter_core/commit/1118c8ce01800cb689d51f655f5ccef19516e283https://github.com/jupyter/jupyter_core/security/advisories/GHSA-m678-f26j-3hrphttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KKMP5OXXIX2QAUNVNJZ5UEQFKDYYJVBA/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YIDN7JMLK6AOMBQI4QPSW4MBQGWQ5NIN/https://security.gentoo.org/glsa/202301-04https://www.debian.org/security/2023/dsa-5422https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена