Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03874

Опубликовано: 22 мая 2023
Источник: fstec
CVSS3: 6.1
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость библиотеки HTTP запросов языка программирования Python Requests связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Fedora Project
Kenneth Reitz, Cory Benfield, Ian Stapleton Cordasco, Nate Prewitt
Wazuh, Inc
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Fedora
Requests
Wazuh
ОСОН ОСнова Оnyx

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
37 (Fedora)
4.7 (Astra Linux Special Edition)
38 (Fedora)
от 2.3.0 до 2.31.0 (Requests)
4.4.5 (Wazuh)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Fedora Project Fedora 38
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для Requests:
https://github.com/psf/requests/security/advisories/GHSA-j8r2-6x86-q33q
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2023-32681
Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AW7HNFGYP44RT3DUDQXG2QT3OEV2PJ7Y/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KOYASTZDGQG2BWLSNBPL3TQRL2G7QYNZ/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения requests до версии 2.21.0-1+deb10u1
Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.06121
Низкий

6.1 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240408-11

CVSS3: 6.1
redos
около 1 года назад

Уязвимость python3-requests

ubuntu логотип

CVE-2023-32681

CVSS3: 6.1
ubuntu
около 2 лет назад

Requests is a HTTP library. Since Requests 2.3.0, Requests has been leaking Proxy-Authorization headers to destination servers when redirected to an HTTPS endpoint. This is a product of how we use `rebuild_proxies` to reattach the `Proxy-Authorization` header to requests. For HTTP connections sent through the tunnel, the proxy will identify the header in the request itself and remove it prior to forwarding to the destination server. However when sent over HTTPS, the `Proxy-Authorization` header must be sent in the CONNECT request as the proxy has no visibility into the tunneled request. This results in Requests forwarding proxy credentials to the destination server unintentionally, allowing a malicious actor to potentially exfiltrate sensitive information. This issue has been patched in version 2.31.0.

redhat логотип

CVE-2023-32681

CVSS3: 6.1
redhat
около 2 лет назад

Requests is a HTTP library. Since Requests 2.3.0, Requests has been leaking Proxy-Authorization headers to destination servers when redirected to an HTTPS endpoint. This is a product of how we use `rebuild_proxies` to reattach the `Proxy-Authorization` header to requests. For HTTP connections sent through the tunnel, the proxy will identify the header in the request itself and remove it prior to forwarding to the destination server. However when sent over HTTPS, the `Proxy-Authorization` header must be sent in the CONNECT request as the proxy has no visibility into the tunneled request. This results in Requests forwarding proxy credentials to the destination server unintentionally, allowing a malicious actor to potentially exfiltrate sensitive information. This issue has been patched in version 2.31.0.

nvd логотип

CVE-2023-32681

CVSS3: 6.1
nvd
около 2 лет назад

Requests is a HTTP library. Since Requests 2.3.0, Requests has been leaking Proxy-Authorization headers to destination servers when redirected to an HTTPS endpoint. This is a product of how we use `rebuild_proxies` to reattach the `Proxy-Authorization` header to requests. For HTTP connections sent through the tunnel, the proxy will identify the header in the request itself and remove it prior to forwarding to the destination server. However when sent over HTTPS, the `Proxy-Authorization` header must be sent in the CONNECT request as the proxy has no visibility into the tunneled request. This results in Requests forwarding proxy credentials to the destination server unintentionally, allowing a malicious actor to potentially exfiltrate sensitive information. This issue has been patched in version 2.31.0.

msrc логотип

CVE-2023-32681

CVSS3: 6.1
msrc
около 2 лет назад

Описание отсутствует

EPSS

Процентиль: 90%
0.06121
Низкий

6.1 Medium

CVSS3

5.4 Medium

CVSS2