ГлавнаяБаза уязвимостей БДУ → BDU:2025-00113
6.8высокая

BDU:2025-00113 (CVE-2024-34064)

Уязвимость метода str.format() инструмента для html-шаблонизации jinja, позволяющая нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2025-01-09
Описание

Уязвимость метода str.format() инструмента для html-шаблонизации jinja связана с неприятием мер по нейтрализации специальных элементов в механизме создания шаблонов. Эксплуатация уязвимости может позволить нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)РОСА Кобальт (7.9)ROSA Virtualization (2.1)АЛЬТ СП 10Astra Linux Special Edition (1.8)jinja (до 3.1.5)ROSA Virtualization 3.0 (3.0)МСВСфера (9.5)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
https://github.com/pallets/jinja/commit/48b0687e05a5466a91cd5812d604fa37ad0943b4
https://github.com/pallets/jinja/releases/tag/3.1.5

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-jinja2-cve-2024-34064-cve-2024-56326-cve-2024-56201/?sphrase_id=643822

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2762

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2765

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2768

Для ОС Astra Linux:
обновить пакет jinja2 до 3.1.2-1ubuntu1.1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
обновить пакет jinja2 до 2.10-2+deb10u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет jinja2 до 2.10-2+deb10u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:0667?lang=ru

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения jinja2 до версии 3.1.2-1+deb12u3

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://github.com/pallets/jinja/security/advisories/GHSA-q2x7-8rv6-6q7hhttps://github.com/pallets/jinja/releases/tag/3.1.5https://github.com/pallets/jinja/commit/48b0687e05a5466a91cd5812d604fa37ad0943b4https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-jinja2-cve-2024-34064-cve-2024-56326-cve-2024-56201/?sphrase_id=643822https://abf.rosa.ru/advisories/ROSA-SA-2025-2762https://abf.rosa.ru/advisories/ROSA-SA-2025-2765https://abf.rosa.ru/advisories/ROSA-SA-2025-2768https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена