ГлавнаяБаза уязвимостей БДУ → BDU:2024-08943
7.8высокая

BDU:2024-08943 (CVE-2024-6232)

Уязвимость модуля tarfile интерпретатора языка программирования Python (CPython), позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-11-05
Описание

Уязвимость модуля tarfile интерпретатора языка программирования Python (CPython) связана с некорректным синтаксическим анализом заголовка файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Red Hat Enterprise Linux (7.7 Advanced Update Support)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПRed Hat Enterprise Linux (9)РОСА Кобальт (7.9)Red Hat Enterprise Linux (8.8 Extended Update Support)Red Hat Enterprise Linux (9.2 Extended Update Support)Red Hat Enterprise Linux (9.0 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.6 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.6 Telecommunications Update Service)Red Hat Enterprise Linux (8.6 Advanced Mission Critical Update Support)Astra Linux Special Edition (1.8)CPython (от 3.10.0 до 3.10.15)CPython (от 3.11.0 до 3.11.10)CPython (от 3.12.0 до 3.12.6)CPython (от 3.13.0 до 3.13.0rc2)Red Hat Enterprise Linux AIОСОН ОСнова Оnyx (до 2.13)
Способ устранения

Использование рекомендаций:
Для Python:
https://github.com/python/cpython/commit/4eaf4891c12589e3c7bdad5f5b076e4c8392dd06
https://github.com/python/cpython/commit/743acbe872485dc18df4d8ab2dc7895187f062c4
https://github.com/python/cpython/commit/7d1f50cd92ff7e10a1c15a8f591dde8a6843a64d
https://github.com/python/cpython/commit/b4225ca91547aa97ed3aca391614afbb255bc877
https://github.com/python/cpython/commit/d449caf8a179e3b954268b3a88eb9170be3c8fbf
https://github.com/python/cpython/commit/ed3a49ea734ada357ff4442996fd4ae71d253373
https://github.com/python/cpython/issues/121285

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-6232

Компенсирующие меры:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет python3.11 до 3.11.2-6+deb12u3astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-cve-2024-6232/?sphrase_id=1203999

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2873

Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/python/cpython/commit/4eaf4891c12589e3c7bdad5f5b076e4c8392dd06https://github.com/python/cpython/commit/743acbe872485dc18df4d8ab2dc7895187f062c4https://github.com/python/cpython/commit/7d1f50cd92ff7e10a1c15a8f591dde8a6843a64dhttps://github.com/python/cpython/commit/b4225ca91547aa97ed3aca391614afbb255bc877https://github.com/python/cpython/commit/d449caf8a179e3b954268b3a88eb9170be3c8fbfhttps://github.com/python/cpython/commit/ed3a49ea734ada357ff4442996fd4ae71d253373https://github.com/python/cpython/issues/121285https://github.com/python/cpython/pull/121286
Проверьте безопасность своего сайта и почты → Полная проверка домена