ГлавнаяБаза уязвимостей БДУ → BDU:2019-00512
9.3высокая

BDU:2019-00512 (CVE-2017-17405)

Уязвимость реализации команд Net::FTP интерпретатора языка программирования Ruby, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2019-02-07
Описание

Уязвимость команд Net::FTP интерпретатора языка программирования Ruby связана с ошибкой фильтрации входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольную команду при открытии локального файла командами Net::FTP#get, Net::FTP#getbinaryfile, Net::FTP#gettextfile, Net::FTP#put, Net::FTP#putbinaryfile и Net::FTP#puttextfile с использованием аргумента localfile путем добавления в начало его значения символа конвейеризации «|»

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Ruby (от 2.2 до 2.2.8 включительно)Ruby (от 2.3 до 2.3.5 включительно)Ruby (от 2.4 до 2.4.2 включительно)
Способ устранения

Для Ruby:
Обновление программного обеспечения до 2.5.3-3 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета ruby2.3) до 2.3.3-1+deb9u3 или более поздней версии

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://www.ruby-lang.org/en/news/2017/12/14/net-ftp-command-injection-cve-2017-17405/https://nvd.nist.gov/vuln/detail/CVE-2017-17405https://security-tracker.debian.org/tracker/CVE-2017-17405https://www.exploit-db.com/exploits/43381/
Проверьте безопасность своего сайта и почты → Полная проверка домена