ГлавнаяБаза уязвимостей БДУ → BDU:2019-04156
5средняя

BDU:2019-04156 (CVE-2017-17742)

Уязвимость библиотеки WEBrick интерпретатора языка программирования Ruby, позволяющая нарушителю внедрить произвольные HTTP-заголовки
Опубликовано: 2019-11-25
Описание

Уязвимость библиотеки WEBrick интерпретатора языка программирования Ruby связана с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольные HTTP-заголовки

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (17.10)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Альт 8 СП СерверАльт 8 СП Рабочая станцияOpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Debian GNU/Linux (7)Ruby (от 2.3.0 до 2.3.7)Ruby (от 2.4.0 до 2.4.4)Ruby (от 2.5.0 до 2.5.1)Ruby (от 2.2.0 до 2.2.10)Ruby (2.6.0 Preview1)ОС ОН «Стрелец» (до 16.01.2023)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734
Обновление программного обеспечения (пакета ruby2.5) до 2.5.5-3+deb10u2 или более поздней версии

Для Альт 8 СП Сервер и Альт 8 СП Рабочая станция:
https://cve.basealt.ru/tag/cve-2017-17742.html

Для Ruby:
https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-2-10-released/
https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-3-7-released/
https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-4-4-released/
https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-5-1-released/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/04/msg00023.html
https://lists.debian.org/debian-lts-announce/2018/04/msg00024.html
https://lists.debian.org/debian-lts-announce/2018/07/msg00012.html
https://www.debian.org/security/2018/dsa-4259

Для Ubuntu:
https://usn.ubuntu.com/3685-1/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:2028

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jruby до версии 1.7.26+repack-1+deb9u3.osnova6

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jruby до версии 9.1.17.0+repack-3+deb10u1osnova1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://cve.basealt.ru/tag/cve-2017-17742.htmlhttps://www.ruby-lang.org/en/news/2018/03/28/ruby-2-2-10-released/https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-3-7-released/https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-4-4-released/https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-5-1-released/https://lists.debian.org/debian-lts-announce/2018/04/msg00023.htmlhttps://lists.debian.org/debian-lts-announce/2018/04/msg00024.html
Проверьте безопасность своего сайта и почты → Полная проверка домена