ГлавнаяБаза уязвимостей БДУ → BDU:2020-00754
7.8высокая

BDU:2020-00754 (CVE-2019-8323)

Уязвимость модуля Gem::GemcutterUtilities системы управления пакетами RubyGems, связанная с выводом содержимого ответа API в стандартный поток вывода, позволяющая нарушителю нарушить целостность данных
Опубликовано: 2020-02-27
Описание

Уязвимость модуля Gem::GemcutterUtilities системы управления пакетами RubyGems связана с выводом содержимого ответа API в стандартный поток вывода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить целостность данных при помощи специально сформированной escape-последовательности

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.4 US for SAP Solutions)rubygems (от 2.6 до 3.0.2 включительно)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (7.4 Advanced Update Support)CloudForms Management Engine (5.10)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для jruby:
Обновление программного обеспечения до 1.5.6-9+deb8u1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета jruby) до 1.5.6-9+deb8u1 или более поздней версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.html

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Обновление программного обеспечения (пакета jruby) до 1.5.6-9+deb8u1 или более поздней версии

Для Ubuntu:
https://ubuntu.com/security/notices/USN-3945-1

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-8323

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jruby до версии 1.7.26+repack-1+deb9u3.osnova6

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-8323https://security-tracker.debian.org/tracker/CVE-2019-8323https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.htmlhttps://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186https://ubuntu.com/security/notices/USN-3945-1https://access.redhat.com/security/cve/CVE-2019-8323https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена