8.8высокая
BDU:2019-03332 (CVE-2019-8320)
Уязвимость системы управления пакетами RubyGems, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю оказать воздействие целостность данных
Опубликовано: 2019-10-01
Описание
Уязвимость системы управления пакетами RubyGems связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Debian GNU/Linux (8)rubygems (от 2.7.6 до 3.0.2 включительно)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Enterprise Linux (7.4 US for SAP Solutions)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (7.4 Advanced Update Support)CloudForms Management Engine (5.10)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения
Для jruby:
Обновление программного обеспечения до 1.5.6-9+deb8u1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета jruby) до 1.5.6-9+deb8u1 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета jruby) до 1.5.6-9+deb8u1 или более поздней версии
Для Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-8320/
Для Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-8320
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jruby до версии 1.7.26+repack-1+deb9u3.osnova6
Оценка CVSS
| Балл | 8.8 — высокая опасность |
Источники и патчи