BDU:2025-00945

Опубликовано: 06 мая 2024

Источник: fstec

CVSS3: 5.4

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость инструмента для html-шаблонизации jinja связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю проводить межсайтовый скриптинг (XSS)

Вендор

Novell Inc.

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «ИВК»

ООО «РусБИТех-Астра»

АО «НТЦ ИТ РОСА»

Наименование ПО

SUSE Linux Enterprise Server for SAP Applications

OpenSUSE Leap

Suse Linux Enterprise Server

SUSE Linux Enterprise High Performance Computing

Red Hat Enterprise Linux

SUSE Linux Enterprise Module for Public Cloud

openSUSE Tumbleweed

Debian GNU/Linux

РЕД ОС

SUSE Linux Enterprise Micro

openSUSE Leap Micro

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Module for Basesystem

АЛЬТ СП 10

SUSE Liberty Linux

Astra Linux Special Edition

Red Hat Ansible Automation Platform

jinja

SUSE Linux Enterprise Module for Advanced Systems Management

SUSE Manager Client Tools

SUSE Linux Enterprise Module for Python 3

ROSA Virtualization 3.0

Версия ПО

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

15.5 (OpenSUSE Leap)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

12 (SUSE Linux Enterprise High Performance Computing)

8 (Red Hat Enterprise Linux)

12 (SUSE Linux Enterprise Module for Public Cloud)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 (SUSE Linux Enterprise Server for SAP Applications)

- (openSUSE Tumbleweed)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

12 (Suse Linux Enterprise Server)

7.3 (РЕД ОС)

5.1 (SUSE Linux Enterprise Micro)

5.2 (SUSE Linux Enterprise Micro)

5.3 (SUSE Linux Enterprise Micro)

5.3 (openSUSE Leap Micro)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

5.4 (SUSE Linux Enterprise Micro)

5.4 (openSUSE Leap Micro)

8.4 Telecommunications Update Service (Red Hat Enterprise Linux)

8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)

- (АЛЬТ СП 10)

5.5 (SUSE Linux Enterprise Micro)

5.5 (openSUSE Leap Micro)

9 (SUSE Liberty Linux)

8 (SUSE Liberty Linux)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15 SP6 (SUSE Linux Enterprise High Performance Computing)

15 SP6 (SUSE Linux Enterprise Module for Basesystem)

15.6 (OpenSUSE Leap)

6.0 (SUSE Linux Enterprise Micro)

1.8 (Astra Linux Special Edition)

6.1 (SUSE Linux Enterprise Micro)

2.4 for RHEL 8 (Red Hat Ansible Automation Platform)

2.4 for RHEL 9 (Red Hat Ansible Automation Platform)

до 3.1.4 (jinja)

12 (SUSE Linux Enterprise Module for Advanced Systems Management)

12 (SUSE Manager Client Tools)

15 SP5 (SUSE Linux Enterprise Module for Python 3)

15 SP6 (SUSE Linux Enterprise Module for Python 3)

3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. OpenSUSE Leap 15.5

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12

Novell Inc. openSUSE Tumbleweed -

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Novell Inc. Suse Linux Enterprise Server 12

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. openSUSE Leap Micro 5.3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Novell Inc. openSUSE Leap Micro 5.4

Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support

АО «ИВК» АЛЬТ СП 10 -

Novell Inc. openSUSE Leap Micro 5.5

Novell Inc. SUSE Liberty Linux 9

Novell Inc. SUSE Liberty Linux 8

Novell Inc. Suse Linux Enterprise Desktop 15 SP6

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/pallets/jinja/commit/0668239dc6b44ef38e7a6c9f91f312fd4ca581cb

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-34064

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2024-34064

Для программных продуктов Novell Inc.:

.https://www.suse.com/security/cve/CVE-2024-34064.html

Для ОС Astra Linux:

обновить пакет jinja2 до 3.1.2-1ubuntu1.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2769

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-34064
CVE

EPSS

Процентиль: 48%

0.00248

Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2024-34064

CVSS3: 5.4

ubuntu

около 1 года назад

Jinja is an extensible templating engine. The `xmlattr` filter in affected versions of Jinja accepts keys containing non-attribute characters. XML/HTML attributes cannot contain spaces, `/`, `>`, or `=`, as each would then be interpreted as starting a separate attribute. If an application accepts keys (as opposed to only values) as user input, and renders these in pages that other users see as well, an attacker could use this to inject other attributes and perform XSS. The fix for CVE-2024-22195 only addressed spaces but not other characters. Accepting keys as user input is now explicitly considered an unintended use case of the `xmlattr` filter, and code that does so without otherwise validating the input should be flagged as insecure, regardless of Jinja version. Accepting _values_ as user input continues to be safe. This vulnerability is fixed in 3.1.4.

CVE-2024-34064

CVSS3: 5.4

redhat

около 1 года назад

CVE-2024-34064

CVSS3: 5.4

nvd

около 1 года назад

CVE-2024-34064

CVSS3: 5.4

msrc

5 месяцев назад

Описание отсутствует

CVE-2024-34064

CVSS3: 5.4

debian

около 1 года назад

Jinja is an extensible templating engine. The `xmlattr` filter in affe ...

EPSS

Процентиль: 48%

0.00248

Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2