BDU:2024-00884

АО "НППКТ", ООО «Ред Софт», Red Hat Inc., АО «ИВК», Сообщество свободного программного обеспечения, Red Hat Enterprise Linux, Fedora, АЛЬТ СП 10, Astra Linux Special Edition, Red Hat Software Collecti

НЕ ОЦЕНЕНО
Дата обнаружения

2024-01-10

Официальное описание

Уязвимость фильтра xmlattr шаблонизатора Jinja2 для языка программирования Python связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)

🛡️
Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для Jinja: https://github.com/pallets/jinja/releases/tag/3.1.3 https://github.com/pallets/jinja/security/advisories/GHSA-h5c8-rqwp-cp95

Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-22195

Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2024-22195

Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5XCWZD464AJJJUBOO7CMPXQ4ROBC6JX2/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DELCVUUYX75I5K4Q5WMJG4MUZJA6VAIP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/O7YWRBX6JQCWC2XXCTZ55C7DPMGICCN3/

Для ОСОН ОСнова Оnyx (версия 2.10): Обновление программного обеспечения jinja2 до версии 2.10-2+deb10u1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux: обновить пакет jinja2 до 2.10-2+deb10u1+ci202405161722+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет jinja2 до 2.10-2+deb10u1+ci202405161722+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux: обновить пакет jinja2 до 3.1.2-1ubuntu1.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2506

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2506

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2769

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей