BDU:2023-02444
АО "НППКТ", ООО «Ред Софт», АО «ИВК», Сообщество свободного программного обеспечения, ООО «РусБИТех- Astra Linux Common Edition, АЛЬТ СП 10, Astra Linux Special Edition, ОСОН ОСнова Оnyx, Debian GNU/Li
2022-07-09
Уязвимость библиотеки шаблонов Sqlalchemy mako Python связана с недостаточной проверкой ввода при обработке регулярных выражений в классе Lexer. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданные данные и выполнить атаку типа «отказ в обслуживании» с помощью регулярных выражений
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Python: https://pyup.io/posts/pyup-discovers-redos-vulnerabilities-in-top-python-packages/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-40023
Для ОСОН ОСнова Оnyx Обновление программного обеспечения mako до версии 1.0.7+ds1-1+deb10u1
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux Special Edition 1.7: обновить пакет mako до 1.0.7+ds1-1+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для ОС Astra Linux: обновить пакет mako до 1.0.6+ds1-2+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16