Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2013-1633

Опубликовано: 02 июн. 2013
Источник: redhat
CVSS2: 4.4
EPSS Низкий

Уязвимость выполнения произвольного кода в easy_install из setuptools, вызванная использованием HTTP без проверки целостности пакетов

Описание

Обнаружена уязвимость в easy_install в setuptools. Программа использует протокол HTTP для загрузки пакетов из репозитория PyPI и не выполняет проверку целостности содержимого пакетов. Это позволяет злоумышленникам, осуществляющим атаку типа "человек посередине", выполнять произвольный код через специально созданный ответ на запрос, отправляемый при стандартном использовании продукта.

Заявление

Red Hat OpenShift Enterprise 1.2 находится на этапе Production 1 в цикле поддержки и обслуживания. Данная проблема оценена как имеющая умеренное влияние на безопасность и в настоящее время не планируется к устранению в будущих обновлениях. Для получения дополнительной информации обратитесь к жизненному циклу Red Hat OpenShift Enterprise.

Затронутые версии ПО

  • setuptools до версии 0.7

Тип уязвимости

Выполнение произвольного кода

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
OpenShift Enterprise 1python-virtualenvWill not fix
Red Hat Enterprise Linux 5python-setuptoolsAffected
Red Hat Enterprise Linux 6python-setuptoolsAffected
Red Hat Enterprise Linux 7python-setuptoolsNot affected
Red Hat Enterprise Linux 7python-virtualenvNot affected
Red Hat Enterprise MRG 1python-setuptoolsWill not fix
Red Hat Software Collectionspython27-python-setuptoolsAffected
Red Hat Software Collectionspython27-python-virtualenvAffected
Red Hat Software Collectionspython33-python-setuptoolsAffected
Red Hat Software Collectionspython33-python-virtualenvAffected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
https://bugzilla.redhat.com/show_bug.cgi?id=994182python-setuptools: easy_install insecure installation mechanism

EPSS

Процентиль: 73%
0.00765
Низкий

4.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2013-1633

ubuntu
больше 12 лет назад

easy_install in setuptools before 0.7 uses HTTP to retrieve packages from the PyPI repository, and does not perform integrity checks on package contents, which allows man-in-the-middle attackers to execute arbitrary code via a crafted response to the default use of the product.

nvd логотип

CVE-2013-1633

nvd
больше 12 лет назад

easy_install in setuptools before 0.7 uses HTTP to retrieve packages from the PyPI repository, and does not perform integrity checks on package contents, which allows man-in-the-middle attackers to execute arbitrary code via a crafted response to the default use of the product.

debian логотип

CVE-2013-1633

debian
больше 12 лет назад

easy_install in setuptools before 0.7 uses HTTP to retrieve packages f ...

github логотип

GHSA-27x4-j476-jp5f

CVSS3: 8.3
github
больше 3 лет назад

Setuptools vulnerable to Man-in-the-middle attacks

EPSS

Процентиль: 73%
0.00765
Низкий

4.4 Medium

CVSS2

Уязвимость CVE-2013-1633