BDU:2025-00113
ООО «Ред Софт», АО «ИВК», ООО «НЦПР», Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОС jinja, АЛЬТ СП 10, Astra Linux Special Edition, ROSA Virtualization 3.0, ROSA Virtualization, РЕД ОС
2024-12-20
Уязвимость метода str.format() инструмента для html-шаблонизации jinja связана с неприятием мер по нейтрализации специальных элементов в механизме создания шаблонов. Эксплуатация уязвимости может позволить нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: https://github.com/pallets/jinja/commit/48b0687e05a5466a91cd5812d604fa37ad0943b4 https://github.com/pallets/jinja/releases/tag/3.1.5
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2762
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2765
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2768
Для ОС Astra Linux: обновить пакет jinja2 до 3.1.2-1ubuntu1.1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux: обновить пакет jinja2 до 2.10-2+deb10u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Astra Linux: обновить пакет jinja2 до 2.10-2+deb10u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:0667?lang=ru