ГлавнаяБаза уязвимостей БДУ → BDU:2023-04978
7.8высокая

BDU:2023-04978

Уязвимость компонента urllib.parse интерпретатора языка программирования Python, позволяющая нарушителю обходить блокировки URL-адресов
Опубликовано: 2023-08-29
Описание

Уязвимость компонента urllib.parse интерпретатора языка программирования Python связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обходить блокировки URL-адресов, начинающийся с пустых символов

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПFedora (36)Fedora (37)Astra Linux Special Edition (4.7)Fedora (38)РОСА ХРОМ (12.4)Python (до 3.11.4 включительно)Python (до 3.7.17)Python (от 3.8.0 до 3.8.17)Python (от 3.9.0 до 3.9.17)Python (от 3.10.0 до 3.10.12)Python (от 3.11.0 до 3.11.4)АЛЬТ СП 10harbor (2.7.0)ОСОН ОСнова Оnyx (до 2.13)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Использование рекомендаций:
Для Python:
https://github.com/python/cpython/pull/99421
https://github.com/python/cpython/issues/102153

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет python2.7 до 2.7.16-2+deb10u2+ci202306261853+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u4+ci202304051759+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux 1.6 «Смоленск»:
обновить пакет python2.7 до 2.7.13-2+deb9u6+ci202306271056+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7:
- обновить пакет python2.7 до 2.7.16-2+deb10u2+ci202306261853+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет python3.7 до 3.7.3-2+deb10u5+ci202306301731+astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2676

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2646

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/python/cpython/pull/99421https://github.com/python/cpython/issues/102153https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6PEVICI7YNGGMSL3UCMWGE66QFLATH72/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DSL6NSOAXWBJJ67XPLSSC74MNKZF3BBO/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EM2XLZSTXG44TMFXF4E6VTGKR2MQCW3G/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F2NY75GFDZ5T6YPN44D3VMFT5SUVTOTG/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GR5US3BYILYJ4SKBV6YBNPRUBAL5P2CN/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/H23OSKC6UG6IWOQAUPW74YUHWRWVXJP7/
Проверьте безопасность своего сайта и почты → Полная проверка домена