BDU:2025-14668

Опубликовано: 26 дек. 2020

Источник: fstec

CVSS3: 6.1

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость библиотеки реализации асинхронных веб-сокетов и RPC-взаимодействий Autobahn связана с недостаточной проверкой и фильтрацией входных данных, используемых для формирования HTTP-заголовков. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить произвольные заголовки в HTTP-ответ

Вендор

Canonical Ltd.

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Crossbar.io Technologies GmbH

Наименование ПО

Ubuntu

Red Hat OpenStack Platform

Red Hat Quay

Debian GNU/Linux

Ansible Automation Platform

Ansible Tower

ПК "ALD Pro"

Autobahn

Версия ПО

16.04 LTS (Ubuntu)

18.04 LTS (Ubuntu)

10.0 (Newton) (Red Hat OpenStack Platform)

13.0 (Queens) (Red Hat OpenStack Platform)

20.04 LTS (Ubuntu)

3 (Red Hat Quay)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

1.2 (Ansible Automation Platform)

22.04 LTS (Ubuntu)

16.1 (Red Hat OpenStack Platform)

24.04 LTS (Ubuntu)

3.6 for RHEL 7 (Ansible Tower)

25.04 (Ubuntu)

13 (Debian GNU/Linux)

25.10 (Ubuntu)

до 2.4.2 (ПК "ALD Pro")

до 20.12.3 (Autobahn)

3.7 for RHEL 7 (Ansible Tower)

3.8 for RHEL 7 (Ansible Tower)

Тип ПО

Операционная система

ПО программно-аппаратного средства

Прикладное ПО информационных систем

Сетевое программное средство

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS

Canonical Ltd. Ubuntu 18.04 LTS

Canonical Ltd. Ubuntu 20.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 24.04 LTS

Canonical Ltd. Ubuntu 25.04

Сообщество свободного программного обеспечения Debian GNU/Linux 13

Canonical Ltd. Ubuntu 25.10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Autobahn:

https://pypi.org/project/autobahn/20.12.3/

https://autobahn.readthedocs.io/en/latest/changelog.html

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2020-35678

Для Ubuntu:

https://ubuntu.com/security/CVE-2020-35678

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2020-35678

Для ПК «ALD Pro»:

обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-35678
CVE

EPSS

Процентиль: 52%

0.00294

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2020-35678

CVSS3: 6.1

ubuntu

около 5 лет назад

Autobahn|Python before 20.12.3 allows redirect header injection.

CVE-2020-35678

CVSS3: 6.1

redhat

около 5 лет назад

Autobahn|Python before 20.12.3 allows redirect header injection.

CVE-2020-35678

CVSS3: 6.1

nvd

около 5 лет назад

Autobahn|Python before 20.12.3 allows redirect header injection.

CVE-2020-35678

CVSS3: 6.1

debian

около 5 лет назад

Autobahn|Python before 20.12.3 allows redirect header injection.

openSUSE-SU-2021:0152-1

suse-cvrf

около 5 лет назад

Security update for python-autobahn

EPSS

Процентиль: 52%

0.00294

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2