BDU:2025-12461
Django Software Foundation, ООО «РусБИТех-Астра», ООО «Ред Софт» Astra Linux Special Edition, Django, РЕД ОС
2025-10-01
Уязвимость методов QuerySet.annotate(), QuerySet.alias(), QuerySet.aggregate(), and QuerySet.extra() программной платформы для веб-приложений Django связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность и целостность защищаемой информации путем отправки специально сформированного SQL-запроса
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению; - использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей; - использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости; - ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций: https://docs.djangoproject.com/en/dev/releases/security/
Для ОС Astra Linux: обновить пакет python-django до 1:1.11.29-1+deb10u11.astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17
Для ОС Astra Linux: обновить пакет python-django до 1:1.11.29-1+deb10u11.astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47