Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04481

Опубликовано: 20 июн. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость компонентов EmailValidator и URLValidator программной платформы для веб-приложений Django связана с использованием регулярного выражения c неэффективной вычислительной сложностью при обработке меток доменных имен в электронных письмах и URL-адресах. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Canonical Ltd.
Django Software Foundation
АО «ИВК»
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
Ubuntu
Django
АЛЬТ СП 10
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
4.7 (Astra Linux Special Edition)
22.10 (Ubuntu)
23.04 (Ubuntu)
от 4.0 до 4.2.3 (Django)
от 4.1 до 4.1.10 (Django)
от 3.2 до 3.2.20 (Django)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.10
Canonical Ltd. Ubuntu 23.04
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Django:
https://www.djangoproject.com/weblog/2023/jul/03/security-releases/
https://docs.djangoproject.com/en/4.2/releases/security/
https://github.com/django/django/commit/beb3f3d55940d9aa7198bf9d424ab74e873aec3d
https://github.com/django/django/commit/b7c5feb35a31799de6e582ad6a5a91a9de74e0f9
https://github.com/django/django/commit/ad0410ec4f458aa39803e5f6b9a3736527062dcd
https://github.com/django/django/commit/454f2fb93437f98917283336201b4048293f7582
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6203-1
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/07/msg00022.html
https://www.debian.org/security/2023/dsa-5465
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u2
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет python-django до 1:1.11.29-1+deb10u10+ci202310121207+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет python-django до 1:1.10.7-2+deb9u22+ci202408201751+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет python-django до 1:1.11.29-1+deb10u11+ci202404121704+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.02994
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20230911-10

CVSS3: 7.5
redos
почти 2 года назад

Уязвимость django

ubuntu логотип

CVE-2023-36053

CVSS3: 7.5
ubuntu
почти 2 года назад

In Django 3.2 before 3.2.20, 4 before 4.1.10, and 4.2 before 4.2.3, EmailValidator and URLValidator are subject to a potential ReDoS (regular expression denial of service) attack via a very large number of domain name labels of emails and URLs.

redhat логотип

CVE-2023-36053

CVSS3: 7.5
redhat
почти 2 года назад

In Django 3.2 before 3.2.20, 4 before 4.1.10, and 4.2 before 4.2.3, EmailValidator and URLValidator are subject to a potential ReDoS (regular expression denial of service) attack via a very large number of domain name labels of emails and URLs.

nvd логотип

CVE-2023-36053

CVSS3: 7.5
nvd
почти 2 года назад

In Django 3.2 before 3.2.20, 4 before 4.1.10, and 4.2 before 4.2.3, EmailValidator and URLValidator are subject to a potential ReDoS (regular expression denial of service) attack via a very large number of domain name labels of emails and URLs.

debian логотип

CVE-2023-36053

CVSS3: 7.5
debian
почти 2 года назад

In Django 3.2 before 3.2.20, 4 before 4.1.10, and 4.2 before 4.2.3, Em ...

EPSS

Процентиль: 86%
0.02994
Низкий

7.5 High

CVSS3

7.8 High

CVSS2