Описание
Уязвимость библиотеки для работы с реляционными СУБД SQLAlchemy связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Canonical Ltd.
Сообщество свободного программного обеспечения
Red Hat Inc.
Novell Inc.
Mike Bayer
Oracle Corp.
АО «Концерн ВНИИНС»
Наименование ПО
Ubuntu
Debian GNU/Linux
Red Hat Enterprise Linux
OpenSUSE Leap
SQLAlchemy
Oracle Communications Operations Monitor
ОС ОН «Стрелец»
Версия ПО
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
до 1.2.17 включительно (SQLAlchemy)
4.2 (Oracle Communications Operations Monitor)
4.3 (Oracle Communications Operations Monitor)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
Для SQLAlchemy:
https://github.com/sqlalchemy/sqlalchemy/issues/4481
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-7164
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-7164
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-7164/
Для Ubuntu:
https://ubuntu.com/security/CVE-2019-7164
Для ОС ОН «Стрелец»:
Обновление программного обеспечения sqlalchemy до версии 1.0.15+ds1-1+deb9u1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 82%
0.01727
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
больше 6 лет назад
SQLAlchemy through 1.2.17 and 1.3.x through 1.3.0b2 allows SQL Injection via the order_by parameter.
CVSS3: 7.3
redhat
больше 6 лет назад
SQLAlchemy through 1.2.17 and 1.3.x through 1.3.0b2 allows SQL Injection via the order_by parameter.
CVSS3: 9.8
nvd
больше 6 лет назад
SQLAlchemy through 1.2.17 and 1.3.x through 1.3.0b2 allows SQL Injection via the order_by parameter.
CVSS3: 9.8
debian
больше 6 лет назад
SQLAlchemy through 1.2.17 and 1.3.x through 1.3.0b2 allows SQL Injecti ...
CVSS3: 9.8
github
около 6 лет назад
SQLAlchemy vulnerable to SQL Injection via order_by parameter
EPSS
Процентиль: 82%
0.01727
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2