BDU:2023-00662
АО "НППКТ", Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Dj Django, Astra Linux Special Edition, Ubuntu, ОСОН ОСнова Оnyx, Debian GNU/Linux
2023-02-01
Уязвимость программной платформы для веб-приложений Django связана с неограниченным распределением ресурсов при обработке заголовка Accept-Language. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Django: https://www.djangoproject.com/weblog/2023/feb/01/security-releases/ https://github.com/django/django/commit/c7e0151fdf33e1b11d488b6f67b94fdf3a30614a https://github.com/django/django/commit/4452642f193533e288a52c02efb5bbc766a68f95 https://github.com/django/django/commit/9d7bd5a56b1ce0576e8e07a8001373576d277942
Для Debian: https://security-tracker.debian.org/tracker/CVE-2023-23969
Для Ubuntu: https://ubuntu.com/security/notices/USN-5837-1 https://ubuntu.com/security/notices/USN-5837-2
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для Astra Linux 1.6 «Смоленск»: обновить пакет python-django до 1:1.10.7-2+deb9u21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения python-django до версии 2:2.2.28-1~deb11u2