ГлавнаяБаза уязвимостей БДУ → BDU:2023-05462
7.8высокая

BDU:2023-05462 (CVE-2023-49081)

Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2023-09-12
Описание

Уязвимость HTTP-клиента aiohttp связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
РЕД ОС (7.3)Wazuh (4.4.5)aiohttp (до 3.8.4 включительно)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для aiohttp:
https://github.com/aio-libs/aiohttp/blob/v3.8.4/.gitmodules
https://github.com/aio-libs/aiohttp/commit/9337fb3f2ab2b5f38d7e98a194bde6f7e3d16c40
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-45c4-8wx5-qw6w

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/aio-libs/aiohttp/blob/v3.8.4/.gitmoduleshttps://github.com/aio-libs/aiohttp/commit/9337fb3f2ab2b5f38d7e98a194bde6f7e3d16c40https://github.com/aio-libs/aiohttp/security/advisories/GHSA-45c4-8wx5-qw6whttps://hackerone.com/reports/2001873https://www.cybersecurity-help.cz/vdb/SB2023072024https://vuldb.com/ru/?id.235024https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-aiohttp-cve-2023-49081-cve-2023-49082-cve-2023-47627-cve-2023-372/?sphrase_id=349646
Проверьте безопасность своего сайта и почты → Полная проверка домена