7.8высокая
BDU:2024-03553 (CVE-2024-1135)
Уязвимость WSGI-сервера gunicorn, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить атаку «контрабанда HTTP-запросов»
Опубликовано: 2024-05-07
Описание
Уязвимость WSGI-сервера gunicorn связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности и выполнить атаку «контрабанда HTTP-запросов»
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)OpenSUSE Leap (15.5)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Debian GNU/Linux (10)Red Hat Storage (3)Red Hat Quay (3)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Suse Linux Enterprise Server (15 SP4)Red Hat OpenShift Container Platform (4)Red Hat Satellite (6)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Red Hat OpenStack Platform (16.2)Red Hat OpenStack Platform (16.1)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)Red Hat Update Infrastructure for Cloud Providers (4)Red Hat DiscoveryRed Hat Ansible Automation Platform (2)Red Hat OpenStack Platform (17.1)АЛЬТ СП 10Suse Linux Enterprise Server (15 SP4-LTSS)
Способ устранения
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для gunicorn:
обновление программного средства до версии 22.0.0 и выше.
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-1135.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-1135
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-1135
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения gunicorn до версии 19.9.0-1+deb10u1
Для ОС Альт 8 СП (релиз 10):
установка обновления из публичного репозитория программного средства
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи