Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08026

Опубликовано: 25 окт. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость модуля pip языка программирования Python связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю изменить конфигурацию репозитория

Вендор

Novell Inc.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Fedora Project
Python Software Foundation

Наименование ПО

Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise High Performance Computing
Red Hat Quay
SUSE Linux Enterprise Module for Basesystem
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Red Hat Enterprise Linux
SUSE Manager Retail Branch Server
SUSE Manager Proxy
SUSE Manager Server
SUSE Linux Enterprise Module for Public Cloud
Fedora
Red Hat Ansible Automation Platform
Red Hat OpenShift Dev Spaces
Python-pip
Suse Linux Enterprise Desktop
OpenSUSE Leap
SUSE Linux Enterprise Module for Python 3

Версия ПО

12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
3 (Red Hat Quay)
15 SP 3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Module for Basesystem)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
15 SP3 (SUSE Linux Enterprise High Performance Computing)
15 SP4 (Suse Linux Enterprise Server)
9 (Red Hat Enterprise Linux)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
15 SP4 (SUSE Linux Enterprise Module for Public Cloud)
39 (Fedora)
15 SP5 (Suse Linux Enterprise Server)
2 (Red Hat Ansible Automation Platform)
- (Red Hat OpenShift Dev Spaces)
1.2 (Red Hat Ansible Automation Platform)
до 23.3 (Python-pip)
15 SP4-LTSS (Suse Linux Enterprise Server)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15.6 (OpenSUSE Leap)
12 SP5-LTSS (Suse Linux Enterprise Server)
2.4 for RHEL 8 (Red Hat Ansible Automation Platform)
2.4 for RHEL 9 (Red Hat Ansible Automation Platform)
15 SP5-LTSS (Suse Linux Enterprise Server)
15 SP5-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP5-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Python 3)
15 SP6 (SUSE Linux Enterprise Module for Python 3)
15 SP7 (Suse Linux Enterprise Desktop)
15 SP7 (SUSE Linux Enterprise High Performance Computing)
15 SP7 (Suse Linux Enterprise Server)
15 SP7 (SUSE Linux Enterprise Server for SAP Applications)
15 SP7 (SUSE Linux Enterprise Module for Python 3)
13 (Debian GNU/Linux)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP 3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Novell Inc. Suse Linux Enterprise Server 15 SP4
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 39
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS
Novell Inc. Suse Linux Enterprise Desktop 15 SP7
Novell Inc. Suse Linux Enterprise Server 15 SP7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7
Сообщество свободного программного обеспечения Debian GNU/Linux 13

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Python:
https://github.com/pypa/pip/pull/12306/commits/389cb799d0da9a840749fcd14878928467ed49b4
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-5752
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-5752
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2024-797928fed3
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-5752.html
Для ОС Astra Linux:
обновить пакет python-pip до 18.1-5.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
обновить пакет python-pip до 18.1-5.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 23%
0.00075
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250924-01

CVSS3: 5.5
redos
2 месяца назад

Уязвимость python3-pip

ubuntu логотип

CVE-2023-5752

CVSS3: 5.5
ubuntu
около 2 лет назад

When installing a package from a Mercurial VCS URL (ie "pip install hg+...") with pip prior to v23.3, the specified Mercurial revision could be used to inject arbitrary configuration options to the "hg clone" call (ie "--config"). Controlling the Mercurial configuration can modify how and which repository is installed. This vulnerability does not affect users who aren't installing from Mercurial.

redhat логотип

CVE-2023-5752

CVSS3: 3.3
redhat
около 2 лет назад

When installing a package from a Mercurial VCS URL (ie "pip install hg+...") with pip prior to v23.3, the specified Mercurial revision could be used to inject arbitrary configuration options to the "hg clone" call (ie "--config"). Controlling the Mercurial configuration can modify how and which repository is installed. This vulnerability does not affect users who aren't installing from Mercurial.

nvd логотип

CVE-2023-5752

CVSS3: 5.5
nvd
около 2 лет назад

When installing a package from a Mercurial VCS URL (ie "pip install hg+...") with pip prior to v23.3, the specified Mercurial revision could be used to inject arbitrary configuration options to the "hg clone" call (ie "--config"). Controlling the Mercurial configuration can modify how and which repository is installed. This vulnerability does not affect users who aren't installing from Mercurial.

msrc логотип

CVE-2023-5752

CVSS3: 3.3
msrc
5 месяцев назад

Описание отсутствует

EPSS

Процентиль: 23%
0.00075
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2