ГлавнаяБаза уязвимостей БДУ → BDU:2024-03553
7.8высокая

BDU:2024-03553 (CVE-2024-1135)

Уязвимость WSGI-сервера gunicorn, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить атаку «контрабанда HTTP-запросов»
Опубликовано: 2024-05-07
Описание

Уязвимость WSGI-сервера gunicorn связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности и выполнить атаку «контрабанда HTTP-запросов»

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)OpenSUSE Leap (15.5)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Debian GNU/Linux (10)Red Hat Storage (3)Red Hat Quay (3)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Suse Linux Enterprise Server (15 SP4)Red Hat OpenShift Container Platform (4)Red Hat Satellite (6)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Red Hat OpenStack Platform (16.2)Red Hat OpenStack Platform (16.1)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)Red Hat Update Infrastructure for Cloud Providers (4)Red Hat DiscoveryRed Hat Ansible Automation Platform (2)Red Hat OpenStack Platform (17.1)АЛЬТ СП 10Suse Linux Enterprise Server (15 SP4-LTSS)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для gunicorn:
обновление программного средства до версии 22.0.0 и выше.

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-1135.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-1135

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-1135

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения gunicorn до версии 19.9.0-1+deb10u1



Для ОС Альт 8 СП (релиз 10):
установка обновления из публичного репозитория программного средства

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://huntr.com/bounties/22158e34-cfd5-41ad-97e0-a780773d96c1https://github.com/benoitc/gunicorn/commit/ac29c9b0a758d21f1e0fb3b3457239e523fa9f1dhttps://github.com/advisories/GHSA-w3h3-4rj7-4ph4https://github.com/benoitc/gunicorn/releaseshttps://www.suse.com/security/cve/CVE-2024-1135.htmlhttps://access.redhat.com/security/cve/CVE-2024-1135https://security-tracker.debian.org/tracker/CVE-2024-1135https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/
Проверьте безопасность своего сайта и почты → Полная проверка домена