ГлавнаяБаза уязвимостей БДУ → BDU:2020-00865
7.8высокая

BDU:2020-00865 (CVE-2019-16201)

Уязвимость реализации класса WEBrick::HTTPAuth::DigestAuth библиотеки WEBrick интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-03-04
Описание

Уязвимость реализации класса WEBrick::HTTPAuth::DigestAuth библиотеки WEBrick интерпретатора языка программирования Ruby связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)GraalVM Enterprise Edition (19.3.0.2)Ruby (от 2.5.0 до 2.5.6 включительно)Ruby (от 2.6.0 до 2.6.4 включительно)Ruby (2.4.7)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)ОСОН ОСнова Оnyx (до 2.9)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Использование рекомендаций:
Для Ruby:
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-4-8-released/
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-5-7-released/
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-6-5-released/

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/11/msg00025.html
https://lists.debian.org/debian-lts-announce/2019/12/msg00009.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-16201/

Для Astra Linux:
Обновление программного обеспечения (пакета ruby2.5) до 2.5.5-3+deb10u1 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ruby2.3 до версии 2.3.3-1+deb9u9.osnova2
Обновление программного обеспечения jruby до версии 1.7.26+repack-1+deb9u3.osnova6

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jruby до версии 9.1.17.0+repack-3+deb10u1osnova1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Обновление программного обеспечения ruby2.5 до версии 2.5.5.repack-3+deb10u6.osnova2u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.ruby-lang.org/en/news/2019/10/01/webrick-regexp-digestauth-dos-cve-2019-16201/https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-4-8-released/https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-5-7-released/https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-6-5-released/https://lists.debian.org/debian-lts-announce/2019/11/msg00025.htmlhttps://lists.debian.org/debian-lts-announce/2019/12/msg00009.htmlhttps://www.oracle.com/security-alerts/cpujan2020.htmlhttps://www.suse.com/security/cve/CVE-2019-16201/
Проверьте безопасность своего сайта и почты → Полная проверка домена