Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06655

Опубликовано: 16 окт. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость модуля plistlib интерпретатора языка программирования Python связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Python Software Foundation
ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
Python
РЕД ОС
Альт 8 СП
РОСА ХРОМ
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
от 3.7.0 до 3.7.10 (Python)
до 3.6.13 (Python)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
12.4 (РОСА ХРОМ)
от 3.8.0 до 3.8.7 (Python)
от 3.9.0 до 3.9.1 (Python)
до 2.11 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Python:
https://bugs.python.org/issue42051
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/09/msg00022.html
https://lists.debian.org/debian-lts-announce/2023/10/msg00017.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u7osnova0
Для ОС Astra Linux:
- обновить пакет python2.7 до 2.7.16-2+deb10u4+ci202404081628+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет python3.7 до 3.7.3-2+deb10u7+ci202404081648+astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет python2.7 до 2.7.13-2+deb9u9+ci202406111043+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет python2.7 до 2.7.16-2+deb10u4+ci202404081628+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет python3.7 до 3.7.3-2+deb10u7+ci202404081648+astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2646

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%
0.0412
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240409-02

CVSS3: 9.8
redos
около 1 года назад

Множественные уязвимости python3

ubuntu логотип

CVE-2022-48565

CVSS3: 9.8
ubuntu
почти 2 года назад

An XML External Entity (XXE) issue was discovered in Python through 3.9.1. The plistlib module no longer accepts entity declarations in XML plist files to avoid XML vulnerabilities.

redhat логотип

CVE-2022-48565

CVSS3: 7.8
redhat
почти 2 года назад

An XML External Entity (XXE) issue was discovered in Python through 3.9.1. The plistlib module no longer accepts entity declarations in XML plist files to avoid XML vulnerabilities.

nvd логотип

CVE-2022-48565

CVSS3: 9.8
nvd
почти 2 года назад

An XML External Entity (XXE) issue was discovered in Python through 3.9.1. The plistlib module no longer accepts entity declarations in XML plist files to avoid XML vulnerabilities.

debian логотип

CVE-2022-48565

CVSS3: 9.8
debian
почти 2 года назад

An XML External Entity (XXE) issue was discovered in Python through 3. ...

EPSS

Процентиль: 88%
0.0412
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2