BDU:2024-11296
ООО «Ред Софт», Canonical Ltd., Fedora Project, Сообщество свободного программного обеспечения Fedora, Ubuntu, Debian GNU/Linux, РЕД ОС, Mpmath
2021-06-21
Уязвимость функции mpmathify библиотеки mpmath интерпретатора языка программирования Python связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании (ReDos)
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций: Для библиотеки Mpmath: https://github.com/mpmath/mpmath/commit/46d44c3c8f3244017fe1eb102d564eb4ab8ef750 https://github.com/mpmath/mpmath/releases/tag/1.3.0 https://github.com/npm/hosted-git-info/pull/76 https://github.com/yetingli/PoCs/blob/main/CVE-2021-29063/Mpmath.md https://github.com/yetingli/SaveResults/blob/main/js/hosted-git-info.js
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-29063
Для Ubuntu: https://ubuntu.com/security/CVE-2021-29063
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3M5O55E7VUDMXCPQR6MQTOIFDKHP36AA/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EIUX3XWY2K3MSO7QXMZXQQYAURARSPC5/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MS2U6GLXQSRZJE2HVUAUMVFR2DWQLCZG/