ROS-20240703-09

Опубликовано: 03 июл. 2024

Источник: redos

Описание

Множественные уязвимости python-werkzeug

Наименование уязвимого пакета

python3-werkzeug

Пакет обновления

python3-werkzeug-0:3.0.3-1.el7.noarch

Версия уязвимого пакета младше

3.0.3-1

Возможные меры по устранению уязвимости

Запретить использование в ОС пакета python-werkzeug или Установить обновление для пакета(ов) python-werkzeug

Версия ОС

7.3

Архитектура ОС

х86_64

Дата публикации бюллетеня

03.07.2024

CVE-2024-34069

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость библиотеки веб-приложения WSGI Werkzeug связана с возможностью злоумышленнику выполнить код на машине разработчика. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к отладчику и выполнить произвольный код

7.5 High

CVSS3

7.6 High

CVSS2

CVE-2023-25577

Идентификатор БДУ ФСТЭК России:

BDU:2023-02343

Описание уязвимости:

Уязвимость библиотеки веб-приложения WSGI Werkzeug связана с тем, что приложение не контролирует должным образом потребление внутренних ресурсов при разборе данных составной формы с большим количеством полей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать исчерпание ресурсов и выполнить атаку типа «отказ в обслуживании»

6.7 Medium

CVSS3

6.5 Medium

CVSS2

CVE-2023-23934

Идентификатор БДУ ФСТЭК России:

BDU:2023-02449

Описание уязвимости:

3.5 Low

CVSS3

3.3 Low

CVSS2

CVE-2023-46136

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость библиотеки веб-приложения WSGI Werkzeug связана с загрузкой файла, начинающегося с CR или LF, сопровождающегося мегабайтами данных без этих символов: все эти байты добавляются по частям во внутренний массив bytearray, и выполняется поиск границы в растущем буфере. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

7.5 High

CVSS3

7.8 High

CVSS2