ГлавнаяБаза уязвимостей БДУ → BDU:2024-10842
10критическая

BDU:2024-10842 (CVE-2024-53899)

Уязвимость сценариев активации конструктора виртуальной среды Python virtualenv, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2025-02-05
Описание

Уязвимость сценариев активации конструктора виртуальной среды Python virtualenv связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Red Hat OpenShift Dev Spacesvirtualenv (до 20.26.6)Red Hat OpenShift Lightspeed
Способ устранения

Использование рекомендаций:
Для virtualenv:
https://github.com/pypa/virtualenv/releases/tag/20.26.6

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-53899

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-53899

Компенсирующие меры:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/pypa/virtualenv/issues/2768https://github.com/pypa/virtualenv/pull/2771https://github.com/pypa/virtualenv/releases/tag/20.26.6https://security-tracker.debian.org/tracker/CVE-2024-53899https://access.redhat.com/security/cve/cve-2024-53899https://bugzilla.redhat.com/show_bug.cgi?id=2328554http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена