Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-00586

Опубликовано: 13 июн. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость HTTP-клиента для Python urllib3 связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить отказ в обслуживании

Вендор

Fedora Project
ООО «РусБИТех-Астра»
ФССП России
Andrey Petrov
IBM Corp.
АО "НППКТ"
АО «НТЦ ИТ РОСА»

Наименование ПО

Fedora
Astra Linux Special Edition
ОС ТД АИС ФССП России
urllib3
IBM Qradar Advisor
ОСОН ОСнова Оnyx
ROSA Virtualization 3.0

Версия ПО

33 (Fedora)
34 (Fedora)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
до 1.26.5 (urllib3)
до 2.6.2 (IBM Qradar Advisor)
до 2.8 (ОСОН ОСнова Оnyx)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FMUGWEAUYGGHTPPXT6YBD53WYXQGVV73/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6SCV7ZNAHS3E6PBFLJGENCDRDRWRZZ6W/
Для urllib3:
https://github.com/urllib3/urllib3/commit/2d4a3fee6de2fa45eb82169361918f759269b4ec
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6507113
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-urllib3 до версии 1.24.1-1osnova1
Для ОС Astra Linux Special Edition 1.7:
обновить пакет python-urllib3 до 1.25.8-1+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2772
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2746

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 74%
0.00863
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20220125-01

redos
больше 3 лет назад

Уязвимость HTTP-клиента для Python urllib3

ubuntu логотип

CVE-2021-33503

CVSS3: 7.5
ubuntu
почти 4 года назад

An issue was discovered in urllib3 before 1.26.5. When provided with a URL containing many @ characters in the authority component, the authority regular expression exhibits catastrophic backtracking, causing a denial of service if a URL were passed as a parameter or redirected to via an HTTP redirect.

redhat логотип

CVE-2021-33503

CVSS3: 7.5
redhat
около 4 лет назад

An issue was discovered in urllib3 before 1.26.5. When provided with a URL containing many @ characters in the authority component, the authority regular expression exhibits catastrophic backtracking, causing a denial of service if a URL were passed as a parameter or redirected to via an HTTP redirect.

nvd логотип

CVE-2021-33503

CVSS3: 7.5
nvd
почти 4 года назад

An issue was discovered in urllib3 before 1.26.5. When provided with a URL containing many @ characters in the authority component, the authority regular expression exhibits catastrophic backtracking, causing a denial of service if a URL were passed as a parameter or redirected to via an HTTP redirect.

msrc логотип

CVE-2021-33503

CVSS3: 7.5
msrc
почти 4 года назад

Описание отсутствует

EPSS

Процентиль: 74%
0.00863
Низкий

7.5 High

CVSS3

7.8 High

CVSS2