ГлавнаяБаза уязвимостей БДУ → BDU:2021-01008
4средняя

BDU:2021-01008 (CVE-2020-26247)

Уязвимость программной библиотеки Nokogiri, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю провести SSRF-атаку или XXE-атаку
Опубликовано: 2021-03-02
Описание

Уязвимость программной библиотеки Nokogiri связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести SSRF-атаку или XXE-атаку

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenSUSE Leap (15.2)Nokogiri (до 1.11.0.rc4)РЕД ОС (7.3)ОСОН ОСнова Оnyx (до 2.6)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Nokogiri:
https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-vr8q-g5c7-m54m

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-26247/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux:
Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-nokogiri до версии 1.10.0+dfsg1-2+deb10u1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет ruby-nokogiri до 1.6.8.1-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ruby-nokogiri до версии 1.6.8.1-1+deb9u2

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://www.suse.com/security/cve/CVE-2020-26247/https://nvd.nist.gov/vuln/detail/CVE-2020-26247https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-vr8q-g5c7-m54mhttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена