ГлавнаяБаза уязвимостей БДУ → BDU:2020-02449
7.8высокая

BDU:2020-02449 (CVE-2020-10663)

Уязвимость расширения JSON Gem интерпретатора языка программирования Ruby, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2020-05-29
Описание

Уязвимость расширения JSON Gem интерпретатора языка программирования Ruby связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ruby (от 2.5 до 2.5.7 включительно)Ruby (от 2.6 до 2.6.5 включительно)JSON Gem (до 2.2.0 включительно)Ruby (от 2.4 до 2.4.9 включительно)ОСОН ОСнова Оnyx (до 2.4.3)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Ruby:
https://www.ruby-lang.org/en/news/2020/03/19/json-dos-cve-2020-10663/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7QL6MJD2BO4IRJ5CJFNMCDYMQQFT24BJ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F4TNVTT66VPRMX5UZYSDGSVRXKKDDDU5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NK2PBXWMFRUD7U7Q7LHV4KYLYID77RI4/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00004.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/04/msg00030.html

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения ruby2.5 до версии 2.5.5-repack1-3.osnova4

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ruby-json до версии 2.0.1+dfsg-3+deb9u1
Обновление программного обеспечения ruby2.3 до версии 2.3.3-1+deb9u9.osnova2

Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет ruby-json до 2.0.1+dfsg-3+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
- обновить пакет ruby2.3 до 2.3.3-1+deb9u9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00004.htmlhttps://lists.debian.org/debian-lts-announce/2020/04/msg00030.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7QL6MJD2BO4IRJ5CJFNMCDYMQQFT24BJ/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F4TNVTT66VPRMX5UZYSDGSVRXKKDDDU5/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NK2PBXWMFRUD7U7Q7LHV4KYLYID77RI4/https://www.ruby-lang.org/en/news/2020/03/19/json-dos-cve-2020-10663/https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена