ГлавнаяБаза уязвимостей БДУ → BDU:2023-06977
4средняя

BDU:2023-06977

Уязвимость модуля urllib3 интерпретатора языка программирования Python, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-10-21
Описание

Уязвимость модуля urllib3 интерпретатора языка программирования Python связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)ROSA Virtualization (2.1)АЛЬТ СП 10urllib3 (до 1.26.17 включительно)urllib3 (до 2.0.6 включительно)
Способ устранения

Компенсирующие меры:
- отключение переадресации для служб, которые, как вы ожидаете, не будут отвечать переадресациями с помощью redirects=False;
- отключение автоматические перенаправления с помощью redirects=False и обработайте 303 перенаправления вручную, удалив тело HTTP-запроса.

Обновление до исправленной версии urllib3 (1.26.18 или 2.0.7).

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет python-urllib3 до 1.25.8-2+ci202405311436+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет python-urllib3 до 1.19.1-1+deb9u2+ci202406111900+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет python-urllib3 до 1.25.8-2+ci202405311436+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет python-urllib3 до 1.19.1-1+deb9u2+ci202406111900+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2497

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://www.rfc-editor.org/rfc/rfc9110.html#name-gethttps://github.com/urllib3/urllib3/commit/4e98d57809dacab1cbe625fddeec1a290c478ea9https://www.rfc-editor.org/rfc/rfc9110.html#name-gethttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47https://altsp.su/obnovleniya-bezopasnosti/https://huntr.com/bounties/65563cbd-0577-4737-847a-0401921243bd/?__hstc=79449099.f7d3f20db1bfaa4204b84306ed5e45da.1733330123520.1733330123520.1733330123520.1&__hssc=79449099.2.1733330123520&__hsfp=683428783&_gl=1*xrkgpt*_ga*MTI1NTA5MDQ4MC4xNzMzMzMwMTEz*_ga_MT9HL3EKXV*MTczMzMzMDExMi4xLjEuMTczMzMzMDQwOC40MS4wLjE3MjI4MDQ2NTY.
Проверьте безопасность своего сайта и почты → Полная проверка домена