7.8высокая
BDU:2025-01019 (CVE-2024-4340)
Уязвимость функции sqlparse.parse() модуля парсера SQL для Python Sqlparse, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-02-03
Описание
Уязвимость функции sqlparse.parse() модуля парсера SQL для Python Sqlparse связана с неконтролируемой рекурсией при обработке сильно вложенного списка. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP4)Red Hat Satellite (6)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Public Cloud (15 SP4)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Module for Public Cloud (15 SP5)Red Hat Update Infrastructure for Cloud Providers (4)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)
Способ устранения
Использование рекомендаций:
https://github.com/advisories/GHSA-2m57-hf25-phgg
https://github.com/andialbrecht/sqlparse/commit/b4a39d9850969b4e1d6940d32094ee0b42a2cf03
https://research.jfrog.com/vulnerabilities/sqlparse-stack-exhaustion-dos-jfsa-2024-001031292/
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-sqlparse-cve-2024-4340/?sphrase_id=644380
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-4340
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-4340
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-4340.html
Для ПК «ALD Pro»:
обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи