BDU:2025-14668
Canonical Ltd., Red Hat Inc., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Autobahn, Ubuntu, Ansible Automation Platform, Red Hat Quay, Debian GNU/Linux, Red Hat OpenStack Pla
2020-12-26
Уязвимость библиотеки реализации асинхронных веб-сокетов и RPC-взаимодействий Autobahn связана с недостаточной проверкой и фильтрацией входных данных, используемых для формирования HTTP-заголовков. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить произвольные заголовки в HTTP-ответ
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для Autobahn:
https://pypi.org/project/autobahn/20.12.3/
https://autobahn.readthedocs.io/en/latest/changelog.html
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-35678
Для Ubuntu: https://ubuntu.com/security/CVE-2020-35678
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-35678
Для ПК «ALD Pro»: обновление программного обеспечения, применение оперативного обновления ПК «ALD Pro» 2.4.2, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)