Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02825

Опубликовано: 07 июн. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функций urllib.parse.urlsplit и urllib.parse.urlparse интерпретатора языка программирования Python связана с ошибками управления регистрационными данными. Эксплуатация уязвимость может позволить раскрыть защищаемую информацию, читать или записывать произвольные данные, или вызвать отказ в обслуживании Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Python Software Foundation
ООО «РусБИТех-Астра»
АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Python
Astra Linux Special Edition
Astra Linux Special Edition для «Эльбрус»
ОС ОН «Стрелец»

Версия ПО

7.0 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
2.7 (Python)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
3.5 (Python)
3.6 (Python)
3.7 (Python)
от 3.8.0a4 до 3.8.0b1 включительно (Python)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7.0
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Python:
https://github.com/python/cpython/commit/8d0ef0b5edeae52960c7ed05ae8a12388324f87e
Для Red Hat Enterprise Linux: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10160
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-10160
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения python3.5 до версии 3.5.3-1+osnova10
Обновление программного обеспечения python2.7 до версии 2.7.13-2+osnova10

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01722
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-10160

CVSS3: 9.8
ubuntu
около 6 лет назад

A security regression of CVE-2019-9636 was discovered in python since commit d537ab0ff9767ef024f26246899728f0116b1ec3 affecting versions 2.7, 3.5, 3.6, 3.7 and from v3.8.0a4 through v3.8.0b1, which still allows an attacker to exploit CVE-2019-9636 by abusing the user and password parts of a URL. When an application parses user-supplied URLs to store cookies, authentication credentials, or other kind of information, it is possible for an attacker to provide specially crafted URLs to make the application locate host-related information (e.g. cookies, authentication data) and send them to a different host than where it should, unlike if the URLs had been correctly parsed. The result of an attack may vary based on the application.

redhat логотип

CVE-2019-10160

CVSS3: 9.8
redhat
около 6 лет назад

A security regression of CVE-2019-9636 was discovered in python since commit d537ab0ff9767ef024f26246899728f0116b1ec3 affecting versions 2.7, 3.5, 3.6, 3.7 and from v3.8.0a4 through v3.8.0b1, which still allows an attacker to exploit CVE-2019-9636 by abusing the user and password parts of a URL. When an application parses user-supplied URLs to store cookies, authentication credentials, or other kind of information, it is possible for an attacker to provide specially crafted URLs to make the application locate host-related information (e.g. cookies, authentication data) and send them to a different host than where it should, unlike if the URLs had been correctly parsed. The result of an attack may vary based on the application.

nvd логотип

CVE-2019-10160

CVSS3: 9.8
nvd
около 6 лет назад

A security regression of CVE-2019-9636 was discovered in python since commit d537ab0ff9767ef024f26246899728f0116b1ec3 affecting versions 2.7, 3.5, 3.6, 3.7 and from v3.8.0a4 through v3.8.0b1, which still allows an attacker to exploit CVE-2019-9636 by abusing the user and password parts of a URL. When an application parses user-supplied URLs to store cookies, authentication credentials, or other kind of information, it is possible for an attacker to provide specially crafted URLs to make the application locate host-related information (e.g. cookies, authentication data) and send them to a different host than where it should, unlike if the URLs had been correctly parsed. The result of an attack may vary based on the application.

debian логотип

CVE-2019-10160

CVSS3: 9.8
debian
около 6 лет назад

A security regression of CVE-2019-9636 was discovered in python since ...

suse-cvrf логотип

openSUSE-SU-2019:1906-1

suse-cvrf
почти 6 лет назад

Security update for python

EPSS

Процентиль: 82%
0.01722
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2