ГлавнаяБаза уязвимостей БДУ → BDU:2024-04292
7.8высокая

BDU:2024-04292 (CVE-2024-27351)

Уязвимость функции django.utils.text.Truncator.words() программной платформы для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-05-31
Описание

Уязвимость функции django.utils.text.Truncator.words() программной платформы для веб-приложений Django связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Fedora (38)Fedora (39)АЛЬТ СП 10Fedora (40)Django (от 5.0 до 5.0.3)Django (от 4.2 до 4.2.11)Django (от 3.2 до 3.2.25)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2024/mar/04/security-releases/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-27351

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZQJOMNRMVPCN5WMIZ7YSX5LQ7IR2NY4D/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SN2PLJGYSAAG5KUVIUFJYKD3BLQ4OSN6/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/D2JIRXEDP4ZET5KFMAPPYSK663Q52NEX/

Для Альт СП:
https://cve.basealt.ru/tag/cve-2024-27351.html

Для ОС Astra Linux:
обновить пакет python-django до 1:1.11.29-1+deb10u11+ci202404121704+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет python-django до 1:1.11.29-1+deb10u11+ci202404121704+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u8

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.djangoproject.com/weblog/2024/mar/04/security-releases/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZQJOMNRMVPCN5WMIZ7YSX5LQ7IR2NY4D/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SN2PLJGYSAAG5KUVIUFJYKD3BLQ4OSN6/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/D2JIRXEDP4ZET5KFMAPPYSK663Q52NEX/https://docs.djangoproject.com/en/5.0/releases/security/https://www.openwall.com/lists/oss-security/2024/03/04/1https://security-tracker.debian.org/tracker/CVE-2024-27351https://www.suse.com/security/cve/CVE-2024-27351.html
Проверьте безопасность своего сайта и почты → Полная проверка домена