Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-04191

Опубликовано: 15 мар. 2021
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость HTTP библиотеки Urllib3 языка программирования Python связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Andrey Petrov

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
urllib3

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
от 1.26.0 до 1.26.3 включительно (urllib3)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Urllib3:
https://github.com/urllib3/urllib3/security/advisories/GHSA-5phf-pp7p-vc2r
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-28363
Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00107
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-28363

CVSS3: 6.5
ubuntu
почти 5 лет назад

The urllib3 library 1.26.x before 1.26.4 for Python omits SSL certificate validation in some cases involving HTTPS to HTTPS proxies. The initial connection to the HTTPS proxy (if an SSLContext isn't given via proxy_config) doesn't verify the hostname of the certificate. This means certificates for different servers that still validate properly with the default urllib3 SSLContext will be silently accepted.

redhat логотип

CVE-2021-28363

CVSS3: 6.5
redhat
почти 5 лет назад

The urllib3 library 1.26.x before 1.26.4 for Python omits SSL certificate validation in some cases involving HTTPS to HTTPS proxies. The initial connection to the HTTPS proxy (if an SSLContext isn't given via proxy_config) doesn't verify the hostname of the certificate. This means certificates for different servers that still validate properly with the default urllib3 SSLContext will be silently accepted.

nvd логотип

CVE-2021-28363

CVSS3: 6.5
nvd
почти 5 лет назад

The urllib3 library 1.26.x before 1.26.4 for Python omits SSL certificate validation in some cases involving HTTPS to HTTPS proxies. The initial connection to the HTTPS proxy (if an SSLContext isn't given via proxy_config) doesn't verify the hostname of the certificate. This means certificates for different servers that still validate properly with the default urllib3 SSLContext will be silently accepted.

debian логотип

CVE-2021-28363

CVSS3: 6.5
debian
почти 5 лет назад

The urllib3 library 1.26.x before 1.26.4 for Python omits SSL certific ...

github логотип

GHSA-5phf-pp7p-vc2r

CVSS3: 6.5
github
почти 5 лет назад

Using default SSLContext for HTTPS requests in an HTTPS proxy doesn't verify certificate hostname for proxy connection

EPSS

Процентиль: 29%
0.00107
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2