BDU:2025-03458

Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт», Red Hat Inc. SUSE Manager Retail Branch Server, SUSE Enterprise Storage, Red Hat Update Infrastructure for Cloud

НЕ ОЦЕНЕНО

Дата обнаружения

2024-04-18

Официальное описание

Уязвимость метода web.static(..., show_index=True) HTTP-клиента aiohttp связана с недостаточной очисткой данных, предоставленных пользователем на страницах индекса для обработки статических файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на конфиденциальность и целостность системы

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: https://github.com/aio-libs/aiohttp/commit/28335525d1eac015a7e7584137678cbb6ff19397 https://github.com/aio-libs/aiohttp/pull/8319
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-7gpw-8wmc-pm8g

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-27306

Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-27306

Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-27306.html

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей