ГлавнаяБаза уязвимостей БДУ → BDU:2023-05150
10критическая

BDU:2023-05150 (CVE-2023-40267)

Уязвимость компонентов clone/clone_from библиотеки Python для взаимодействия с git-репозиториями GitPython, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-09-05
Описание

Уязвимость компонентов clone/clone_from библиотеки Python для взаимодействия с git-репозиториями GitPython связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем внедрения специально сформированного URL-адреса в команду клонирования

Затрагиваемое ПО и версии
Ubuntu (14.04 ESM)Debian GNU/Linux (10)openSUSE TumbleweedUbuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Fedora (37)Fedora (38)Ubuntu (18.04 ESM)Ubuntu (23.04)GitPython (до 3.1.32)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений для блокирования возможных последствий эксплуатации уязвимости;
- использование средств межсетевого экранирования для ограничения удаленного доступа к недоверенным ресурсам (репозиториям);
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Использование рекомендаций производителя:
Для GitPython:
https://github.com/gitpython-developers/GitPython/pull/1609
https://github.com/gitpython-developers/GitPython/commit/ca965ecc81853bca7675261729143f54e5bf4cdd

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-40267

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-40267.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AV5DV7GBLMOZT7U3Q4TDOJO5R6G3V6GH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PF6AXUTC5BO7L2SBJMCVKJSPKWY52I5R/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6326-1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/gitpython-developers/GitPython/pull/1609https://github.com/gitpython-developers/GitPython/commit/ca965ecc81853bca7675261729143f54e5bf4cddhttps://security-tracker.debian.org/tracker/CVE-2023-40267https://www.suse.com/security/cve/CVE-2023-40267.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AV5DV7GBLMOZT7U3Q4TDOJO5R6G3V6GH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PF6AXUTC5BO7L2SBJMCVKJSPKWY52I5R/https://ubuntu.com/security/notices/USN-6326-1http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена