ГлавнаяБаза уязвимостей БДУ → BDU:2024-02173
7.8высокая

BDU:2024-02173 (CVE-2023-49081)

Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2024-03-20
Описание

Уязвимость HTTP-клиента aiohttp связана с недостатками обработки заголовков HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
РЕД ОС (7.3)Fedora (38)Fedora (39)aiohttp (до 3.8.6)
Способ устранения

Использование рекомендаций:
Для aiohttp:
https://github.com/aio-libs/aiohttp/commit/d5c12ba890557a575c313bb3017910d7616fce3d
https://github.com/aio-libs/aiohttp/releases/tag/v3.8.6
https://docs.aiohttp.org/en/stable/changes.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUSJVQ7OQ55RWL4XAX2F5EZ73N4ZSH6U/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VDKQ6HM3KNDU4OQI476ZWT4O7DMSIT35/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-aiohttp-cve-2023-49081-cve-2023-49082-cve-2023-47627-cve-2023-372/?sphrase_id=349646https://github.com/aio-libs/aiohttp/commit/d5c12ba890557a575c313bb3017910d7616fce3dhttps://github.com/aio-libs/aiohttp/security/advisories/GHSA-gfw2-4jvh-wgfghttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUSJVQ7OQ55RWL4XAX2F5EZ73N4ZSH6U/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VDKQ6HM3KNDU4OQI476ZWT4O7DMSIT35/https://bugzilla.redhat.com/show_bug.cgi?id=2249825
Проверьте безопасность своего сайта и почты → Полная проверка домена