ГлавнаяБаза уязвимостей БДУ → BDU:2024-05177
7.1высокая

BDU:2024-05177

Уязвимость функций cert_store_stats() и get_ca_certs() модуля ssl интерпретатора языка программирования Python (CPython), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-07-10
Описание

Уязвимость функций cert_store_stats() и get_ca_certs() модуля ssl интерпретатора языка программирования Python (CPython) связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)АЛЬТ СП 10CPython (до 3.10.14)CPython (от 3.11.0 до 3.11.9)CPython (от 3.12.0 до 3.12.3)CPython (от 3.13.0 до 3.13.0a5)Astra Linux Special Edition (1.8)ОСОН ОСнова Оnyx (до 2.13)
Способ устранения

Использование рекомендаций:
https://github.com/python/cpython/commit/01c37f1d0714f5822d34063ca7180b595abf589d
https://github.com/python/cpython/commit/29c97287d205bf2f410f4895ebce3f43b5160524
https://github.com/python/cpython/commit/37324b421b72b7bc9934e27aba85d48d4773002e
https://github.com/python/cpython/commit/542f3272f56f31ed04e74c40635a913fbc12d286
https://github.com/python/cpython/commit/b228655c227b2ca298a8ffac44d14ce3d22f6faa
https://github.com/python/cpython/commit/bce693111bff906ccf9281c22371331aaff766ab
https://github.com/davidben/cpython/commit/529311e4390a72bf500662ee9567d9113c1d0aec

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет python3.11 до 3.11.2-6+deb12u3astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
обновить пакет python3.7 до 3.7.3-2+deb10u8+ci202409251806+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет python3.7 до 3.7.3-2+deb10u8+ci202409251806+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2024/06/17/2https://github.com/python/cpython/commit/01c37f1d0714f5822d34063ca7180b595abf589dhttps://github.com/python/cpython/commit/29c97287d205bf2f410f4895ebce3f43b5160524https://github.com/python/cpython/commit/37324b421b72b7bc9934e27aba85d48d4773002ehttps://github.com/python/cpython/commit/542f3272f56f31ed04e74c40635a913fbc12d286https://github.com/python/cpython/commit/b228655c227b2ca298a8ffac44d14ce3d22f6faahttps://github.com/python/cpython/commit/bce693111bff906ccf9281c22371331aaff766abhttps://github.com/python/cpython/issues/114572
Проверьте безопасность своего сайта и почты → Полная проверка домена