ГлавнаяБаза уязвимостей БДУ → BDU:2020-00866
5средняя

BDU:2020-00866 (CVE-2019-16254)

Уязвимость библиотеки WEBrick интерпретатора языка программирования Ruby, позволяющая нарушителю осуществить межсайтовые сценарные атаки
Опубликовано: 2020-03-04
Описание

Уязвимость библиотеки WEBrick интерпретатора языка программирования Ruby связана с некорректной обработкой особых элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовые сценарные атаки путем разделения HTTP-ответов

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)GraalVM Enterprise Edition (19.3.0.2)Ruby (от 2.4.0 до 2.4.7 включительно)Ruby (от 2.5.0 до 2.5.6 включительно)Ruby (от 2.6.0 до 2.6.4 включительно)Ruby (до 2.3.0 включительно)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)ОСОН ОСнова Оnyx (до 2.9)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Использование рекомендаций:
Для Ruby:
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-4-8-released/
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-5-7-released/
https://www.ruby-lang.org/ja/news/2019/10/01/ruby-2-6-5-released/

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/11/msg00025.html
https://lists.debian.org/debian-lts-announce/2019/12/msg00009.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00041.html

Для Astra Linux:
Обновление программного обеспечения (пакета ruby2.5) до 2.5.5-3+deb10u1 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ruby2.3 до версии 2.3.3-1+deb9u9.osnova2
Обновление программного обеспечения jruby до версии 1.7.26+repack-1+deb9u3.osnova6

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jruby до версии 9.1.17.0+repack-3+deb10u1osnova1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Обновление программного обеспечения ruby2.5 до версии 2.5.5.repack-3+deb10u6.osnova2u1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://hackerone.com/reports/331984https://lists.debian.org/debian-lts-announce/2019/11/msg00025.htmlhttps://lists.debian.org/debian-lts-announce/2019/12/msg00009.htmlhttps://seclists.org/bugtraq/2019/Dec/31https://seclists.org/bugtraq/2019/Dec/32https://www.debian.org/security/2019/dsa-4586https://www.debian.org/security/2019/dsa-4587https://www.oracle.com/security-alerts/cpujan2020.html
Проверьте безопасность своего сайта и почты → Полная проверка домена