ГлавнаяБаза уязвимостей БДУ → BDU:2025-00945
6.4средняя

BDU:2025-00945 (CVE-2024-34064)

Уязвимость инструмента для html-шаблонизации jinja, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовый скриптинг (XSS)
Опубликовано: 2025-02-03
Описание

Уязвимость инструмента для html-шаблонизации jinja связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю проводить межсайтовый скриптинг (XSS)

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Module for Public Cloud (12)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)Suse Linux Enterprise Server (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)SUSE Linux Enterprise Micro (5.1)SUSE Linux Enterprise Micro (5.2)SUSE Linux Enterprise Micro (5.3)openSUSE Leap Micro (5.3)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Micro (5.4)openSUSE Leap Micro (5.4)Red Hat Enterprise Linux (8.4 Telecommunications Update Service)
Способ устранения

Использование рекомендаций:
https://github.com/pallets/jinja/commit/0668239dc6b44ef38e7a6c9f91f312fd4ca581cb

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-34064

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-34064

Для программных продуктов Novell Inc.:
.https://www.suse.com/security/cve/CVE-2024-34064.html

Для ОС Astra Linux:
обновить пакет jinja2 до 3.1.2-1ubuntu1.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2769

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет jinja2 до 2.10-2+deb10u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет jinja2 до 2.10-2+deb10u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://github.com/pallets/jinja/commit/0668239dc6b44ef38e7a6c9f91f312fd4ca581cbhttps://security-tracker.debian.org/tracker/CVE-2024-34064https://access.redhat.com/security/cve/cve-2024-34064https://www.suse.com/security/cve/CVE-2024-34064.htmlhttps://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://abf.rosa.ru/advisories/ROSA-SA-2025-2769https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена