ГлавнаяБаза уязвимостей БДУ → BDU:2024-02174
6.4средняя

BDU:2024-02174 (CVE-2023-49081)

Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки заголовков Content-Length (CL) и Transfer-Encoding (TE), позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2024-03-20
Описание

Уязвимость HTTP-клиента aiohttp связана с недостатками обработки заголовков Content-Length (CL) и Transfer-Encoding (TE). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
РЕД ОС (7.3)aiohttp (до 3.8.0)
Способ устранения

Использование рекомендаций:
Для aiohttp:
https://github.com/aio-libs/aiohttp/commit/f016f0680e4ace6742b03a70cb0382ce86abe371
https://github.com/aio-libs/aiohttp/releases/tag/v3.8.0
https://docs.aiohttp.org/en/stable/changes.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-aiohttp-cve-2023-49081-cve-2023-49082-cve-2023-47627-cve-2023-372/?sphrase_id=349646https://github.com/aio-libs/aiohttp/commit/f016f0680e4ace6742b03a70cb0382ce86abe371https://github.com/aio-libs/aiohttp/security/advisories/GHSA-xx9p-xxvh-7g8j
Проверьте безопасность своего сайта и почты → Полная проверка домена