ГлавнаяБаза уязвимостей БДУ → BDU:2019-01506
5высокая

BDU:2019-01506 (CVE-2019-5418)

Уязвимость компонента Action View программной платформы Ruby on Rails, позволяющая нарушителю читать произвольные файлы
Опубликовано: 2019-04-23
Описание

Уязвимость компонента Action View программной платформы Ruby on Rails связана с ошибками обработки HTTP-заголовков Accept при использовании в коде обработчика «render file». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать произвольные файлы

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Ruby on Rails (до 6.0.0.beta3)Ruby on Rails (до 5.2.2.1)Ruby on Rails (до 5.1.6.2)Ruby on Rails (до 5.0.7.1)Ruby on Rails (до 4.2.11.1)OpenSUSE Leap (15.0)Fedora (30)Debian GNU/Linux (8)
Способ устранения

Использование рекомендации:
https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6-2-have-been-released/

Для продуктов Debian:
https://lists.debian.org/debian-lts-announce/2019/03/msg00042.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Y43636TH4D6T46IC6N2RQVJTRFJAAYGA/

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Для OpenSUSE:
https://www.suse.com/security/cve/CVE-2019-5418/

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6-2-have-been-released/https://access.redhat.com/security/cve/cve-2019-5418https://www.opennet.ru/opennews/art.shtml?num=50321https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена