Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-04978

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2023-04978
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2023-04978

CVSS: 7.5
17.02.2023

Уязвимость компонента urllib.parse интерпретатора языка программирования Python, позволяющая нарушителю обходить блокировки URL-адресов

Уязвимость компонента urllib.parse интерпретатора языка программирования Python связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обходить блокировки URL-адресов, начинающийся с пустых символов
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 17.02.2023
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Нарушение авторизации
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для Python:
https://github.com/python/cpython/pull/99421
https://github.com/python/cpython/issues/102153

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет python2.7 до 2.7.16-2+deb10u2+ci202306261853+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u4+ci202304051759+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux 1.6 «Смоленск»:
обновить пакет python2.7 до 2.7.13-2+deb9u6+ci202306271056+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7:
- обновить пакет python2.7 до 2.7.16-2+deb10u2+ci202306261853+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет python3.7 до 3.7.3-2+deb10u5+ci202306301731+astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2676

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2646

Обновление программного обеспечения python3.9 до версии 3.9.2-1+deb11u3.osnova2u1

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-20 Некорректная проверка входных данных

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2023-24329 An issue in the urllib.parse component of Python before 3.11.4 allows attackers to bypass blocklisting methods by supplying a...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
7.8 HIGH 2.0 AV:N/AC:L/Au:N/C:N/I:C/A:N
7.5 HIGH 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2023-24329
Вендор:
  • ООО «РусБИТех-Астра»
  • ООО «Ред Софт»
  • АО «ИВК»
  • Fedora Project
  • АО «НТЦ ИТ РОСА»
  • Python Software Foundation
  • Project Harbor
  • АО "НППКТ"
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
Наименование ПО:
  • Astra Linux Special Edition
  • РЕД ОС
  • Альт 8 СП
  • Fedora
  • РОСА ХРОМ
  • Python
  • АЛЬТ СП 10
  • harbor
  • ОСОН ОСнова Оnyx
Версия ПО:
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • - (Альт 8 СП)
  • 36 (Fedora)
  • 37 (Fedora)
  • 4.7 (Astra Linux Special Edition)
  • 38 (Fedora)
  • 12.4 (РОСА ХРОМ)
  • до 3.11.4 включительно (Python)
  • до 3.7.17 (Python)
  • от 3.8.0 до 3.8.17 (Python)
  • от 3.9.0 до 3.9.17 (Python)
  • от 3.10.0 до 3.10.12 (Python)
  • от 3.11.0 до 3.11.4 (Python)
  • - (АЛЬТ СП 10)
  • 2.7.0 (harbor)
  • до 2.13 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:
  • Astra Linux Special Edition (1.6 «Смоленск»)
  • РЕД ОС (7.3)
  • Astra Linux Special Edition (1.7)
  • Альт 8 СП (-)
  • Fedora (36)
  • Fedora (37)
  • Astra Linux Special Edition (4.7)
  • Fedora (38)
  • РОСА ХРОМ (12.4)
  • АЛЬТ СП 10 (-)
  • ОСОН ОСнова Оnyx (до 2.13)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.