ГлавнаяБаза уязвимостей БДУ → BDU:2024-11296
7.8высокая

BDU:2024-11296 (CVE-2021-29063)

Уязвимость функции mpmathify библиотеки mpmath интерпретатора языка программирования Python, позволяющая нарушителю вызвать отказ в обслуживании (ReDos)
Опубликовано: 2024-12-19
Описание

Уязвимость функции mpmathify библиотеки mpmath интерпретатора языка программирования Python связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании (ReDos)

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Ubuntu (20.04 LTS)Fedora (33)Fedora (34)Debian GNU/Linux (11)Debian GNU/Linux (12)Fedora (35)РЕД ОС (7.3)Mpmath (от 1.0.0 до 1.2.1 включительно)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для библиотеки Mpmath:
https://github.com/mpmath/mpmath/commit/46d44c3c8f3244017fe1eb102d564eb4ab8ef750
https://github.com/mpmath/mpmath/releases/tag/1.3.0
https://github.com/npm/hosted-git-info/pull/76
https://github.com/yetingli/PoCs/blob/main/CVE-2021-29063/Mpmath.md
https://github.com/yetingli/SaveResults/blob/main/js/hosted-git-info.js

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-29063

Для Ubuntu:
https://ubuntu.com/security/CVE-2021-29063

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3M5O55E7VUDMXCPQR6MQTOIFDKHP36AA/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EIUX3XWY2K3MSO7QXMZXQQYAURARSPC5/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MS2U6GLXQSRZJE2HVUAUMVFR2DWQLCZG/

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-mpmath-cve-2021-29063/?sphrase_id=1087891

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://avd.aquasec.com/nvd/2021/cve-2021-29063/https://github.com/mpmath/mpmath/commit/46d44c3c8f3244017fe1eb102d564eb4ab8ef750https://github.com/mpmath/mpmath/releases/tag/1.3.0https://github.com/npm/hosted-git-info/pull/76https://github.com/yetingli/PoCs/blob/main/CVE-2021-29063/Mpmath.mdhttps://github.com/yetingli/SaveResults/blob/main/js/hosted-git-info.jshttps://security-tracker.debian.org/tracker/CVE-2021-29063https://ubuntu.com/security/CVE-2021-29063
Проверьте безопасность своего сайта и почты → Полная проверка домена