ГлавнаяБаза уязвимостей БДУ → BDU:2025-00947
6.4средняя

BDU:2025-00947 (CVE-2023-28370)

Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, веб-фреймворка Python Tornado, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2025-02-03
Описание

Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, веб-фреймворка Python Tornado связана с использованием открытой переадресации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью специально созданного URL-адреса

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)SUSE Linux Enterprise Server for SAP Applications (15 SP1)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE OpenStack Cloud (Crowbar 8)SUSE OpenStack Cloud (9)SUSE Linux Enterprise Server for SAP Applications (12)openSUSE TumbleweedSUSE OpenStack Cloud (Crowbar 9)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)Debian GNU/Linux (11)Debian GNU/Linux (12)Suse Linux Enterprise Server (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)OpenSUSE Leap (15.4)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)SUSE Enterprise Storage (7)SUSE Linux Enterprise Server for SAP Applications (15 SP2)
Способ устранения

Использование рекомендаций:
https://github.com/tornadoweb/tornado/releases/tag/v6.3.2

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-tornado-cve-2023-28370/?sphrase_id=644541

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-28370

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-28370

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-28370.html

Для ОС Astra Linux:
обновить пакет python-tornado до 6.2.0-3.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
обновить пакет python-tornado до 5.1.1-5+deb10u2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет python-tornado до 5.1.1-5+deb10u2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Astra Linux:
обновить пакет python-tornado до 4.4.3-1+deb9u1+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-tornado-cve-2023-28370/?sphrase_id=644541https://github.com/tornadoweb/tornado/releases/tag/v6.3.2https://security-tracker.debian.org/tracker/CVE-2023-28370https://access.redhat.com/security/cve/cve-2023-28370https://www.suse.com/security/cve/CVE-2023-28370.htmlhttps://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена