ГлавнаяБаза уязвимостей БДУ → BDU:2023-08730
8.5высокая

BDU:2023-08730 (CVE-2023-43804)

Уязвимость модуля urllib3 интерпретатора языка программирования Python, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-12-14
Описание

Уязвимость модуля urllib3 интерпретатора языка программирования Python связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Storage (3)Ubuntu (20.04 LTS)Red Hat Quay (3)Ubuntu (16.04 ESM)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПRed Hat OpenShift Container Platform (3.11)Red Hat OpenShift Container Platform (4)Red Hat Satellite (6)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Fedora (37)Astra Linux Special Edition (4.7)Fedora (38)Fedora (39)Red Hat OpenShift Data Science (RHODS)ROSA Virtualization (2.1)Ubuntu (18.04 ESM)Ubuntu (23.04)Red Hat OpenStack Platform (17.1)АЛЬТ СП 10Ubuntu (23.10)urllib3 (до 1.26.17)urllib3 (от 2.0.0 до 2.0.6)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для urllib3:
https://github.com/urllib3/urllib3/commit/01220354d389cd05474713f8c982d05c9b17aafb
https://github.com/urllib3/urllib3/commit/644124ecd0b6e417c527191f866daa05a5a2056d
https://github.com/urllib3/urllib3/security/advisories/GHSA-v845-jxx5-vc9f

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-43804

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5F5CUBAN5XMEBVBZPHFITBLMJV5FIJJ5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I3PR7C6RJ6JUBQKIJ644DMIJSUP36VDY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NDAGZXYJ7H2G3SB47M453VQVNAWKAEJJ/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6473-1

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/10/msg00012.html

Для Astra Linux 1.6 «Смоленск»:
обновить пакет python-urllib3 до 1.19.1-1+deb9u1+ci202310171653+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-urllib3 до версии 1.24.1-1+deb10u2

Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет python-urllib3 до 1.25.8-1+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет python-urllib3 до 1.25.8-2+ci202405311436+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет python-urllib3 до 1.19.1-1+deb9u2+ci202406111900+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2497

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2772

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2746

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://github.com/urllib3/urllib3/commit/01220354d389cd05474713f8c982d05c9b17aafbhttps://github.com/urllib3/urllib3/commit/644124ecd0b6e417c527191f866daa05a5a2056dhttps://lists.debian.org/debian-lts-announce/2023/10/msg00012.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5F5CUBAN5XMEBVBZPHFITBLMJV5FIJJ5/https://access.redhat.com/security/cve/cve-2023-43804https://ubuntu.com/security/notices/USN-6473-1https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена