ГлавнаяБаза уязвимостей БДУ → BDU:2021-01344
5высокая

BDU:2021-01344 (CVE-2020-8184)

Уязвимость функции parse_cookies_header из utils.rb модульного интерфейса между веб-серверами и веб-приложениями Rack, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2021-03-15
Описание

Уязвимость функции parse_cookies_header из utils.rb модульного интерфейса между веб-серверами и веб-приложениями Rack связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Rack (до 2.1.4)Rack (от 2.2.0 до 2.2.3)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.8)АЛЬТ СП 10ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для ruby-rack:
Обновление программного обеспечения до 2.2.0 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета ruby-rack) до 1.6.4-4+deb9u2 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета ruby-rack) до 1.6.4-4+deb9u2 или более поздней версии
И использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u3

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ruby-rack до версии 1.6.4-4+deb9u2

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-rubygem-rack-cve-2020-8161-cve-2020-8184/?sphrase_id=1074124

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://groups.google.com/g/rubyonrails-security/c/OWtmozPH9Akhttps://hackerone.com/reports/895727https://nvd.nist.gov/vuln/detail/CVE-2020-8184https://security-tracker.debian.org/tracker/CVE-2020-8184https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена