Описание
Уязвимость библиотеки для работы с реляционными СУБД SQLAlchemy связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
Mike Bayer
Oracle Corp.
АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux
OpenSUSE Leap
Debian GNU/Linux
Red Hat OpenStack Platform
Red Hat Ceph Storage
SQLAlchemy
openSUSE Backports
Enterprise Communications Broker
ОС ОН «Стрелец»
Версия ПО
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
8 (Debian GNU/Linux)
10 (Red Hat OpenStack Platform)
2 (Red Hat Ceph Storage)
9 (Red Hat OpenStack Platform)
13 (Red Hat OpenStack Platform)
14 (Red Hat OpenStack Platform)
8 (Red Hat OpenStack Platform)
1.2.17 (SQLAlchemy)
SLE-15 (openSUSE Backports)
15 (Red Hat OpenStack Platform)
3.1 (Enterprise Communications Broker)
3.2 (Enterprise Communications Broker)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
ПО программно-аппаратного средства
Прикладное ПО информационных систем
Сетевое программное средство
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для SQLAlchemy:
https://github.com/sqlalchemy/sqlalchemy/issues/4481#issuecomment-461204518
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-7548
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00020.html
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00087.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00010.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00016.html
Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения sqlalchemy до версии 1.0.15+ds1-1+deb9u1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 77%
0.01109
Низкий
7.8 High
CVSS3
6.9 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
больше 6 лет назад
SQLAlchemy 1.2.17 has SQL Injection when the group_by parameter can be controlled.
CVSS3: 7.3
redhat
больше 6 лет назад
SQLAlchemy 1.2.17 has SQL Injection when the group_by parameter can be controlled.
CVSS3: 7.8
nvd
больше 6 лет назад
SQLAlchemy 1.2.17 has SQL Injection when the group_by parameter can be controlled.
CVSS3: 7.8
debian
больше 6 лет назад
SQLAlchemy 1.2.17 has SQL Injection when the group_by parameter can be ...
CVSS3: 7.8
github
больше 6 лет назад
SQLAlchemy is vulnerable to SQL Injection via group_by parameter
EPSS
Процентиль: 77%
0.01109
Низкий
7.8 High
CVSS3
6.9 Medium
CVSS2