ГлавнаяБаза уязвимостей БДУ → BDU:2025-01019
7.8высокая

BDU:2025-01019 (CVE-2024-4340)

Уязвимость функции sqlparse.parse() модуля парсера SQL для Python Sqlparse, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-02-03
Описание

Уязвимость функции sqlparse.parse() модуля парсера SQL для Python Sqlparse связана с неконтролируемой рекурсией при обработке сильно вложенного списка. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP4)Red Hat Satellite (6)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Public Cloud (15 SP4)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Module for Public Cloud (15 SP5)Red Hat Update Infrastructure for Cloud Providers (4)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)
Способ устранения

Использование рекомендаций:
https://github.com/advisories/GHSA-2m57-hf25-phgg
https://github.com/andialbrecht/sqlparse/commit/b4a39d9850969b4e1d6940d32094ee0b42a2cf03
https://research.jfrog.com/vulnerabilities/sqlparse-stack-exhaustion-dos-jfsa-2024-001031292/

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-sqlparse-cve-2024-4340/?sphrase_id=644380

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-4340

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-4340

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-4340.html

Для ПК «ALD Pro»:
обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-sqlparse-cve-2024-4340/?sphrase_id=644380https://github.com/advisories/GHSA-2m57-hf25-phgghttps://github.com/andialbrecht/sqlparse/commit/b4a39d9850969b4e1d6940d32094ee0b42a2cf03https://research.jfrog.com/vulnerabilities/sqlparse-stack-exhaustion-dos-jfsa-2024-001031292/https://security-tracker.debian.org/tracker/CVE-2024-4340https://access.redhat.com/security/cve/cve-2024-4340https://www.suse.com/security/cve/CVE-2024-4340.html
Проверьте безопасность своего сайта и почты → Полная проверка домена