Описание
Уязвимость ядра Jupyter Core среды интерактивной разработки и выполнения кода Jupyter Notebook связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию, загружать и выполнять код с повышенными привилегиями
Вендор
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project
АО "НППКТ"
Jupyter Development Team.
Наименование ПО
Astra Linux Special Edition
Debian GNU/Linux
РЕД ОС
Fedora
ОСОН ОСнова Оnyx
Jupyter Core
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
36 (Fedora)
37 (Fedora)
до 2.7 (ОСОН ОСнова Оnyx)
до 4.11.1 включительно (Jupyter Core)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Fedora Project Fedora 36
Fedora Project Fedora 37
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Jupyter Core:
https://github.com/jupyter/jupyter_core/commit/1118c8ce01800cb689d51f655f5ccef19516e283
https://github.com/jupyter/jupyter_core/security/advisories/GHSA-m678-f26j-3hrp
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KKMP5OXXIX2QAUNVNJZ5UEQFKDYYJVBA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YIDN7JMLK6AOMBQI4QPSW4MBQGWQ5NIN/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/11/msg00022.html
https://www.debian.org/security/2023/dsa-5422
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jupyter-core до версии 4.4.0-2+deb10u1
Для Astra Linux 1.6 «Смоленск»:
обновить пакет jupyter-core до 4.2.1-1+ci202307181409+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОС Astra Linux Special Edition 1.7:
обновить пакет jupyter-core до 4.4.0-2+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python2-traitlets-cve-2022-39286/?sphrase_id=1326995
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 57%
0.00356
Низкий
8.8 High
CVSS3
9 Critical
CVSS2
EPSS
Процентиль: 57%
0.00356
Низкий
8.8 High
CVSS3
9 Critical
CVSS2