ГлавнаяБаза уязвимостей БДУ → BDU:2019-04036
6.4средняя

BDU:2019-04036 (CVE-2018-8780)

Уязвимость методов Dir.open, Dir.new, Dir.entries и Dir.empty интерпретатора языка программирования Ruby, позволяющая нарушителю получить несанкционированный доступ к защищаемым данным или оказать воздействие на целостность защищаемой информации
Опубликовано: 2019-11-18
Описание

Уязвимость методов Dir.open, Dir.new, Dir.entries и Dir.empty интерпретатора языка программирования Ruby существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемым данным или оказать воздействие на целостность защищаемой информации

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (17.10)Astra Linux Special Edition (1.6 «Смоленск»)OpenSUSE Leap (15.1)Red Hat Enterprise Linux (7.4 EUS)Red Hat Enterprise Linux (7.5 EUS)Red Hat Enterprise Linux (7.6 EUS)Debian GNU/Linux (8)Debian GNU/Linux (7)Ruby (до 2.2.10)Ruby (от 2.3.0 до 2.3.7)Ruby (от 2.4.0 до 2.4.4)Ruby (от 2.5.0 до 2.5.1)
Способ устранения

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Ubuntu:
https://usn.ubuntu.com/3626-1/

Для Ruby:
https://www.ruby-lang.org/en/news/2018/03/28/poisoned-nul-byte-dir-cve-2018-8780/

Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=1561949

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/04/msg00023.html
https://lists.debian.org/debian-lts-announce/2018/04/msg00024.html
https://lists.debian.org/debian-lts-announce/2018/07/msg00012.html
https://www.debian.org/security/2018/dsa-4259

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.html

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://usn.ubuntu.com/3626-1/https://www.ruby-lang.org/en/news/2018/03/28/poisoned-nul-byte-dir-cve-2018-8780/https://bugzilla.redhat.com/show_bug.cgi?id=1561949https://lists.debian.org/debian-lts-announce/2018/04/msg00023.htmlhttps://lists.debian.org/debian-lts-announce/2018/04/msg00024.htmlhttps://lists.debian.org/debian-lts-announce/2018/07/msg00012.htmlhttps://www.debian.org/security/2018/dsa-4259
Проверьте безопасность своего сайта и почты → Полная проверка домена