ГлавнаяБаза уязвимостей БДУ → BDU:2024-11394
7.8высокая

BDU:2024-11394 (CVE-2024-53907)

Уязвимость функции strip_tags() модуля django.utils.html программной платформы для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-12-21
Описание

Уязвимость функции strip_tags() модуля django.utils.html программной платформы для веб-приложений Django связана с неограниченным распределением ресурсов в результате некорректного экранирования HTML-символов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально созданных HTML-сущностей

Затрагиваемое ПО и версии
openSUSE TumbleweedUbuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Ubuntu (22.04 LTS)Red Hat DiscoveryRed Hat Ansible Automation Platform (2)Ubuntu (18.04 ESM)Red Hat Ansible Automation Platform (1.2)SUSE Linux Enterprise Module for Package Hub (15 SP6)Ubuntu (24.04 LTS)OpenSUSE Leap (15.6)Ubuntu (24.10)Red Hat Ansible Automation Platform (2.4 for RHEL 8)Red Hat Ansible Automation Platform (2.4 for RHEL 9)Django (от 5.1 до 5.1.4)Django (от 5.0 до 5.0.10)Django (от 4.2 до 4.2.17)Red Hat Ansible Automation Platform (2.5 for RHEL 8)Red Hat Ansible Automation Platform (2.5 for RHEL 9)ОСОН ОСнова Оnyx (до 2.13)
Способ устранения

Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2024/dec/04/security-releases/
https://docs.djangoproject.com/en/dev/releases/security/
https://docs.djangoproject.com/en/dev/releases/4.2.17/
https://docs.djangoproject.com/en/dev/releases/5.0.10/
https://docs.djangoproject.com/en/dev/releases/5.1.4/
https://github.com/django/django/commit/790eb058b0716c536a2f2e8d1c6d5079d776c22b
https://github.com/django/django/commit/a5a89ea28cc550c1b29b03f9e14ef3c128ec1e84
https://github.com/django/django/commit/bbc74a7f7eb7335e913bdb4787f22e83a9be947e

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-53907

Для Ubuntu:
https://ubuntu.com/security/notices/USN-7136-2
https://ubuntu.com/security/notices/USN-7136-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-53907

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-53907.html

Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
- использование средств межсетевого экранирования уровня веб-приложений для предотвращения попыток эксплуатации уязвимости;
- использование «белого» списка IP-адресов для ограничения возможности подключения недоверенных пользователей к административным интерфейсам платформы и базы данных.

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u6

Для ОС Astra Linux:
обновить пакет python-django до 1:1.11.29-1+deb10u11.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет python-django до 1:1.11.29-1+deb10u11.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.djangoproject.com/weblog/2024/dec/04/security-releases/https://docs.djangoproject.com/en/dev/releases/security/https://github.com/advisories/GHSA-8498-2h75-472jhttps://groups.google.com/g/django-announcehttps://www.openwall.com/lists/oss-security/2024/12/04/3https://securityonline.info/django-releases-patches-for-cve-2024-53907-and-cve-2024-53908-to-mitigate-dos-and-sqli-threats/https://security-tracker.debian.org/tracker/CVE-2024-53907https://access.redhat.com/security/cve/CVE-2024-53907
Проверьте безопасность своего сайта и почты → Полная проверка домена