BDU:2025-03462

Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт» SUSE Manager Retail Branch Server, SUSE Linux Enterprise Module for Python 3, SUSE Linux Enterprise

НЕ ОЦЕНЕНО

Дата обнаружения

2024-08-08

Официальное описание

Уязвимость HTTP-клиента aiohttp связана с проблемасм с символической ссылкой при обработке статических маршрутов, содержащих файлы со сжатыми вариантами в классе FileResponse. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скомпрометировать уязвимую систему

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: https://github.com/aio-libs/aiohttp/blob/e0ff5246e1d29b7710ab1a2bbc972b48169f1c05/aiohttp/web_fileresponse.py#L177
https://github.com/aio-libs/aiohttp/blob/e0ff5246e1d29b7710ab1a2bbc972b48169f1c05/aiohttp/web_urldispatcher.py#L674 https://github.com/aio-libs/aiohttp/commit/ce2e9758814527589b10759a20783fb03b98339f https://github.com/aio-libs/aiohttp/pull/8653
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-jwhx-xcg6-8xhj

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-42367.html

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей