ГлавнаяБаза уязвимостей БДУ → BDU:2024-08618
7.8высокая

BDU:2024-08618 (CVE-2024-7592)

Уязвимость библиотеки http.cookies интерпретатора языка программирования Python, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-10-29
Описание

Уязвимость библиотеки http.cookies интерпретатора языка программирования Python связана с использованием регулярного выражения c неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПUbuntu (22.04 LTS)Ubuntu (18.04 ESM)АЛЬТ СП 10Ubuntu (24.04 LTS)Python (до 3.9.20)Python (от 3.10 до 3.10.15)Python (от 3.11 до 3.11.10)Python (от 3.12 до 3.12.6)Astra Linux Special Edition (1.8)Python (от 3.13.0 до 3.13.0rc2)ОСОН ОСнова Оnyx (до 2.13)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Python:
https://github.com/python/cpython/commit/391e5626e3ee5af267b97e37abc7475732e67621
https://github.com/python/cpython/commit/a77ab24427a18bff817025adb03ca920dc3f1a06
https://github.com/python/cpython/commit/b2f11ca7667e4d57c71c1c88b255115f16042d9a
https://github.com/python/cpython/commit/d4ac921a4b081f7f996a5d2b101684b67ba0ed7f
https://github.com/python/cpython/commit/d662e2db2605515a767f88ad48096b8ac623c774
https://github.com/python/cpython/commit/dcc3eaef98cd94d6cb6cb0f44bd1c903d04f33b1
https://github.com/python/cpython/issues/123067
https://github.com/python/cpython/pull/123075

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-cve-2024-7592/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-7592

Для Ubuntu:
https://ubuntu.com/security/notices/USN-7015-1
https://ubuntu.com/security/notices/USN-7015-2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет python3.11 до 3.11.2-6+deb12u3astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Для ОС Astra Linux:
- обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет python2.7 до 2.7.16-2+deb10u6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
- обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет python2.7 до 2.7.16-2+deb10u6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/python/cpython/commit/391e5626e3ee5af267b97e37abc7475732e67621https://github.com/python/cpython/commit/a77ab24427a18bff817025adb03ca920dc3f1a06https://github.com/python/cpython/commit/b2f11ca7667e4d57c71c1c88b255115f16042d9ahttps://github.com/python/cpython/commit/d4ac921a4b081f7f996a5d2b101684b67ba0ed7fhttps://github.com/python/cpython/commit/d662e2db2605515a767f88ad48096b8ac623c774https://github.com/python/cpython/commit/dcc3eaef98cd94d6cb6cb0f44bd1c903d04f33b1https://github.com/python/cpython/issues/123067https://github.com/python/cpython/pull/123075
Проверьте безопасность своего сайта и почты → Полная проверка домена