BDU:2023-02446
ООО «Ред Софт», АО «ИВК», Python Charmers, Сообщество свободного программного обеспечения, ООО «РусБ Альт 8 СП, Astra Linux Special Edition, Debian GNU/Linux, РЕД ОС, python-future
2022-12-22
Уязвимость программы совместимости версий Python Charmers Future связана с неправильной проверкой ввода при обработке заголовка Set-Cookie. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить приложению специально созданный HTTP-запрос и выполнить атаку типа «отказ в обслуживании» (ReDoS) с использованием регулярных выражений
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Python: https://pyup.io/posts/pyup-discovers-redos-vulnerabilities-in-top-python-packages/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-40899
Для ОС Astra Linux Special Edition 1.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/