Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02559

Опубликовано: 18 апр. 2018
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции process_headers (gunicorn/http/wsgi.py) WSGI-сервера gunicorn существуют из-за неприятия мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки (XSS)

Вендор

Red Hat Inc.
Canonical Ltd.
Novell Inc.
Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
OpenSUSE Leap
Debian GNU/Linux
gunicorn

Версия ПО

7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
42.3 (OpenSUSE Leap)
8 (Debian GNU/Linux)
7 (Debian GNU/Linux)
19.4.5 (gunicorn)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Novell Inc. OpenSUSE Leap 42.3
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для gunicorn:
Обновление программного обеспечения до актуальной версии
Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4186
https://lists.debian.org/debian-lts-announce/2018/04/msg00022.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-1000164/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-1000164
Для Ubuntu:
https://usn.ubuntu.com/4022-1/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.01484
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-1000164

CVSS3: 7.5
ubuntu
почти 8 лет назад

gunicorn version 19.4.5 contains a CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers vulnerability in "process_headers" function in "gunicorn/http/wsgi.py" that can result in an attacker causing the server to return arbitrary HTTP headers. This vulnerability appears to have been fixed in 19.5.0.

redhat логотип

CVE-2018-1000164

CVSS3: 5.3
redhat
почти 10 лет назад

gunicorn version 19.4.5 contains a CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers vulnerability in "process_headers" function in "gunicorn/http/wsgi.py" that can result in an attacker causing the server to return arbitrary HTTP headers. This vulnerability appears to have been fixed in 19.5.0.

nvd логотип

CVE-2018-1000164

CVSS3: 7.5
nvd
почти 8 лет назад

gunicorn version 19.4.5 contains a CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers vulnerability in "process_headers" function in "gunicorn/http/wsgi.py" that can result in an attacker causing the server to return arbitrary HTTP headers. This vulnerability appears to have been fixed in 19.5.0.

debian логотип

CVE-2018-1000164

CVSS3: 7.5
debian
почти 8 лет назад

gunicorn version 19.4.5 contains a CWE-113: Improper Neutralization of ...

suse-cvrf логотип

openSUSE-SU-2018:0965-1

suse-cvrf
почти 8 лет назад

Security update for python-gunicorn, python3-gunicorn

EPSS

Процентиль: 81%
0.01484
Низкий

7.5 High

CVSS3

7.8 High

CVSS2