ГлавнаяБаза уязвимостей БДУ → BDU:2023-06654
7.1высокая

BDU:2023-06654 (CVE-2022-48566)

Уязвимость функции hmac.compare_digest библиотеки Lib/hmac.py интерпретатора языка программирования Python, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-10-13
Описание

Уязвимость функции hmac.compare_digest библиотеки Lib/hmac.py интерпретатора языка программирования Python связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Python (от 3.7.0 до 3.7.10)Python (до 3.6.13)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)РОСА ХРОМ (12.4)Python (от 3.8.0 до 3.8.7)Python (от 3.9.0 до 3.9.1)ОСОН ОСнова Оnyx (до 2.11)
Способ устранения

Использование рекомендаций:

Для Python:
https://bugs.python.org/issue40791

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/09/msg00022.html
https://lists.debian.org/debian-lts-announce/2023/10/msg00017.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u7osnova0

Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u4+ci202404081628+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u7+ci202404081648+astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет python2.7 до 2.7.13-2+deb9u9+ci202406111043+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет python2.7 до 2.7.16-2+deb10u4+ci202404081628+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет python3.7 до 3.7.3-2+deb10u7+ci202404081648+astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2646

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-48566https://bugs.python.org/issue40791https://lists.debian.org/debian-lts-announce/2023/09/msg00022.htmlhttps://lists.debian.org/debian-lts-announce/2023/10/msg00017.htmlhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена