Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07027

Опубликовано: 20 сент. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции start_unichar (paraparser.py) библиотеки ReportLab связана с ошибкой обработки XML-документа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Matthias Klose
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
OpenSUSE Leap
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
Debian GNU/Linux
SUSE Linux Enterprise Workstation Extension
РЕД ОС
Astra Linux Special Edition
SUSE Linux Enterprise Module for Package Hub
ReportLab
ОСОН ОСнова Оnyx

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
15.5 (OpenSUSE Leap)
8 (Red Hat Enterprise Linux)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
12 SP5 (SUSE Linux Enterprise Workstation Extension)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
4.7 (Astra Linux Special Edition)
8.2 Telecommunications Update Service (Red Hat Enterprise Linux)
8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Extended Update Support (Red Hat Enterprise Linux)
8.2 Advanced Update Support (Red Hat Enterprise Linux)
15 SP4 (SUSE Linux Enterprise Module for Package Hub)
8.4 Telecommunications Update Service (Red Hat Enterprise Linux)
8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
15 SP5 (SUSE Linux Enterprise Module for Package Hub)
до 3.5.31 (ReportLab)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Novell Inc. OpenSUSE Leap 15.5
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support
Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP4
Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP5
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для ReportLab:
https://github.com/MrBitBucket/reportlab-mirror/blob/master/CHANGES.md
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/09/msg00037.html
Для программных продуктов Novell Inc.:
https://www.suse.com/pt-br/security/cve/CVE-2019-19450.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-19450
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения python-reportlab до версии 3.5.13-1+deb10u2
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет python-reportlab до 3.5.13-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет python-reportlab до 3.5.13-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.09484
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240524-02

CVSS3: 9.8
redos
больше 1 года назад

Множественные уязвимости python3-reportlab

ubuntu логотип

CVE-2019-19450

CVSS3: 9.8
ubuntu
почти 2 года назад

paraparser in ReportLab before 3.5.31 allows remote code execution because start_unichar in paraparser.py evaluates untrusted user input in a unichar element in a crafted XML document with '<unichar code="' followed by arbitrary Python code, a similar issue to CVE-2019-17626.

redhat логотип

CVE-2019-19450

CVSS3: 9.8
redhat
почти 2 года назад

paraparser in ReportLab before 3.5.31 allows remote code execution because start_unichar in paraparser.py evaluates untrusted user input in a unichar element in a crafted XML document with '<unichar code="' followed by arbitrary Python code, a similar issue to CVE-2019-17626.

nvd логотип

CVE-2019-19450

CVSS3: 9.8
nvd
почти 2 года назад

paraparser in ReportLab before 3.5.31 allows remote code execution because start_unichar in paraparser.py evaluates untrusted user input in a unichar element in a crafted XML document with '<unichar code="' followed by arbitrary Python code, a similar issue to CVE-2019-17626.

debian логотип

CVE-2019-19450

CVSS3: 9.8
debian
почти 2 года назад

paraparser in ReportLab before 3.5.31 allows remote code execution bec ...

EPSS

Процентиль: 93%
0.09484
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2