ГлавнаяБаза уязвимостей БДУ → BDU:2023-04980
5средняя

BDU:2023-04980

Уязвимость модуля электронной почты интерпретатора языка программирования Python, позволяющая нарушителю обойти механизм защиты
Опубликовано: 2023-08-29
Описание

Уязвимость модуля электронной почты интерпретатора языка программирования Python связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти механизм защиты

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПPython (до 2.7.18 включительно)Python (от 3.0 до 3.11 включительно)harbor (2.7.0)Astra Linux Special Edition (1.8)ОСОН ОСнова Оnyx (до 2.13)ОСОН ОСнова Оnyx (до 2.14)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
Для Python:
https://github.com/python/cpython/issues/103800
https://docs.python.org/3/library/email.utils.html
https://docs.python.org/3/library/email.html
https://github.com/Daybreak2019/PoC_python3.9_Vul/blob/main/RecursionError-email.utils.parseaddr.py

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет python3.11 до 3.11.2-6+deb12u3astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u4+ci202409251756+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u8+ci202409251806+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u4+ci202409251756+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет python3.7 до 3.7.3-2+deb10u8+ci202409251806+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения mercurial до версии 6.3.2-1+deb12u1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://github.com/python/cpython/issues/102988https://python-security.readthedocs.io/vuln/email-parseaddr-realname.htmlhttps://security.netapp.com/advisory/ntap-20230601-0003/https://vuldb.com/ru/?id.226770http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена