ГлавнаяБаза уязвимостей БДУ → BDU:2023-05002
7.8высокая

BDU:2023-05002 (CVE-2023-40217)

Уязвимость класса SSLSocket интерпретатора языка программирования Python, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-08-30
Описание

Уязвимость интерпретатора языка программирования Python связана с некорректной инициализацией ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)Suse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Suse Linux Enterprise Server (11 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Desktop (12 SP1)Suse Linux Enterprise Server (12 SP1)
Способ устранения

Использование рекомендаций:

Для Python:
https://mail.python.org/archives/list/security-announce@python.org/thread/PEPLII27KYHLF4AK3ZQGKYNCRERG4YXY/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-40217.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для Astra Linux Special Edition 4.7:
обновить пакет python3.7 до 3.7.3-2+deb10u5+ci202309191152+astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u7osnova0

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет python2.7 до 2.7.16-2+deb10u4+ci202404081628+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u5+ci202309191152+astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет python2.7 до 2.7.13-2+deb9u9+ci202406111043+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет python3.11 до 3.11.2-6+deb12u3astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2676

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2646

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://mail.python.org/archives/list/security-announce@python.org/thread/PEPLII27KYHLF4AK3ZQGKYNCRERG4YXY/https://github.com/python/cpython/issues/108310https://vuldb.com/ru/?id.237916https://www.suse.com/security/cve/CVE-2023-40217.htmlhttps://sethmlarson.dev/security-developer-in-residence-weekly-report-8https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/
Проверьте безопасность своего сайта и почты → Полная проверка домена