ГлавнаяБаза уязвимостей БДУ → BDU:2021-01347
5высокая

BDU:2021-01347 (CVE-2020-8161)

Уязвимость функции check_forbidden из rack/directory.rb модульного интерфейса между веб-серверами и веб-приложениями Rack, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2021-03-15
Описание

Уязвимость функции check_forbidden из rack/directory.rb модульного интерфейса между веб-серверами и веб-приложениями Rack связана с некорректным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Rack (до 2.2.0)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.8)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для ruby-rack:
Обновление программного обеспечения до 2.2.0 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета ruby-rack) до 1.6.4-4+deb9u2 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета ruby-rack) до 1.6.4-4+deb9u2 или более поздней версии
Или использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u3

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ruby-rack до версии 1.6.4-4+deb9u2

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-rubygem-rack-cve-2020-8161-cve-2020-8184/?sphrase_id=1074124

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://groups.google.com/g/rubyonrails-security/c/IOO1vNZTzPAhttps://nvd.nist.gov/vuln/detail/CVE-2020-8161https://security-tracker.debian.org/tracker/CVE-2020-8161https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Проверьте безопасность своего сайта и почты → Полная проверка домена