BDU:2025-09687
Python Software Foundation, ООО «РусБИТех-Астра» CPython, Astra Linux Special Edition
2025-07-28
Уязвимость модуля tarfile интерпретатора языка программирования Python (CPython) связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданных tar-архивов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций производителя:
https://github.com/python/cpython/commit/7040aa54f14676938970e10c5f74ea93cd56aa38
https://github.com/python/cpython/commit/cdae923ffe187d6ef916c0f665a31249619193fe
https://github.com/python/cpython/issues/130577
https://github.com/python/cpython/pull/137027
Для ОС Astra Linux: обновить пакет python3.11 до 3.11.2-6+deb12u6astra2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18
Для ОС Astra Linux: - обновить пакет python2.7 до 2.7.16-2+deb10u6+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17 - обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17
Для ОС Astra Linux: - обновить пакет python2.7 до 2.7.16-2+deb10u6+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47 - обновить пакет python3.7 до 3.7.3-2+deb10u10.astra2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47