ГлавнаяБаза уязвимостей БДУ → BDU:2024-05843
10критическая

BDU:2024-05843

Уязвимость модуля package_index библиотеки упрощения упаковки проектов setuptools, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнять произвольные команды в системе
Опубликовано: 2024-07-31
Описание

Уязвимость модуля package_index библиотеки упрощения упаковки проектов setuptools связана с использованием функций, которые используются для загрузки пакетов с URL-адресов, предоставленных пользователями или полученных с серверов индексов пакетов, подвержены внедрению кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды в системе

Затрагиваемое ПО и версии
РЕД ОС (7.3)РОСА Кобальт (7.9)ROSA Virtualization (2.1)АЛЬТ СП 10setuptools (до 70.0.0)Astra Linux Special Edition (1.8)ROSA Virtualization 3.0 (3.0)Android Studio (2025.2.3.9)
Способ устранения

Для setuptools:
https://huntr.com/bounties/d6362117-ad57-4e83-951f-b8141c6e7ca5
https://github.com/pypa/setuptools/commit/88807c7062788254f654ea8c03427adc859321f0

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет setuptools до 66.1.1-1+ci202409031440+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2513

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2512

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2513

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2512

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2499

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2771

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/pypa/setuptools/commit/88807c7062788254f654ea8c03427adc859321f0https://huntr.com/bounties/d6362117-ad57-4e83-951f-b8141c6e7ca5https://redos.red-soft.ru/support/secure/https://altsp.su/obnovleniya-bezopasnosti/https://sightline.protectai.com/vulnerabilities/b23a3e98-5947-420d-a92a-45648f65dba4https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://abf.rosa.ru/advisories/ROSA-SA-2024-2513https://abf.rosa.ru/advisories/ROSA-SA-2024-2512
Проверьте безопасность своего сайта и почты → Полная проверка домена