ГлавнаяБаза уязвимостей БДУ → BDU:2020-00835
10критическая

BDU:2020-00835 (CVE-2019-16255)

Уязвимость реализации метода интерпретатора языка программирования Ruby, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-03-04
Описание

Уязвимость реализации метода интерпретатора языка программирования Ruby связана с неверной нейтрализацией особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью аргумента для Shell#[] или Shell#test из каталога lib/shell.rb

Затрагиваемое ПО и версии
SUSE Linux Enterprise (Desktop 12)Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise SDK (12 SP4)SUSE Linux Enterprise (Server 12 SP1 LTSS)SUSE Linux Enterprise (Server 12 SP2 LTSS)SUSE Linux Enterprise (High Performance Computing 12)SUSE Linux Enterprise (Module for Basesystem 15 GA)SUSE Linux Enterprise (Server 12 SP4)SUSE Linux Enterprise (Server for SAP Applications 12 SP2)SUSE Linux Enterprise (Server for SAP Applications 12 SP4)Astra Linux Common Edition (2.12 «Орёл»)SUSE Linux Enterprise (Server for SAP Applications 12 SP3)SUSE CaaS Platform (3.0)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Debian GNU/Linux (10)SUSE Linux Enterprise (Server 12 SP3 LTSS)SUSE Linux Enterprise (Server 11 SP4 LTSS)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)GraalVM Enterprise Edition (19.3.0.2)Ruby (от 2.4.0 до 2.4.7 включительно)Ruby (от 2.5.0 до 2.5.6 включительно)Ruby (от 2.6.0 до 2.6.4 включительно)SUSE CaaS Platform (2.0)SUSE CaaS Platform (1.0)Альт 8 СПIBM Cloud Foundry Migration Runtime (4.1.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Ruby:
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-4-8-released/
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-5-7-released/
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-6-5-released/

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/11/msg00025.html
https://lists.debian.org/debian-lts-announce/2019/12/msg00009.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00041.html

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6498497

Для Astra Linux:
Обновление программного обеспечения (пакета ruby2.5) до 2.5.5-3+deb10u1 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ruby2.3 до версии 2.3.3-1+deb9u9.osnova2
Обновление программного обеспечения jruby до версии 1.7.26+repack-1+deb9u3.osnova6

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jruby до версии 9.1.17.0+repack-3+deb10u1osnova1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Обновление программного обеспечения ruby2.5 до версии 2.5.5.repack-3+deb10u6.osnova2u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://hackerone.com/reports/327512https://lists.debian.org/debian-lts-announce/2019/11/msg00025.htmlhttps://lists.debian.org/debian-lts-announce/2019/12/msg00009.htmlhttps://seclists.org/bugtraq/2019/Dec/31https://seclists.org/bugtraq/2019/Dec/32https://www.debian.org/security/2019/dsa-4587https://www.oracle.com/security-alerts/cpujan2020.htmlhttps://www.ruby-lang.org/ja/news/2019/10/01/code-injection-shell-test-cve-2019-16255/
Проверьте безопасность своего сайта и почты → Полная проверка домена