ГлавнаяБаза уязвимостей БДУ → BDU:2024-09261
7.8высокая

BDU:2024-09261 (CVE-2023-41105)

Уязвимость функции os.path.normpath() интерпретатора языка программирования Python, связанная с обходом списка разрешений при усечении пути посредством вставки нулевого байта, позволяющая нарушителю нарушить целостность защищаемой информации
Опубликовано: 2024-11-11
Описание

Уязвимость функции os.path.normpath() интерпретатора языка программирования Python связана с обходом списка разрешений при усечении пути посредством вставки нулевого байта. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, нарушить целостность защищаемой информации.

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Debian GNU/Linux (12)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Ubuntu (18.04 ESM)Ubuntu (23.04)Python (от 3.11.0 до 3.11.4 включительно)Ubuntu (23.10)AlmaLinux (9)
Способ устранения

Использование рекомендаций производителя:
https://github.com/python/cpython/issues/106242
https://github.com/python/cpython/pull/107981
https://github.com/python/cpython/pull/107982
https://github.com/python/cpython/pull/107983

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-41105

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-41105
https://access.redhat.com/errata/RHSA-2023:7024
https://access.redhat.com/errata/RHSA-2023:6494

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6547-1
https://ubuntu.com/security/notices/USN-6891-1

Для AlmaLinux:
https://errata.almalinux.org/9/ALSA-2023-6494.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2023-41105https://access.redhat.com/security/cve/cve-2023-41105https://ubuntu.com/security/CVE-2023-41105https://errata.almalinux.org/9/ALSA-2023-6494.html
Проверьте безопасность своего сайта и почты → Полная проверка домена