ГлавнаяБаза уязвимостей БДУ → BDU:2021-01472
5высокая

BDU:2021-01472 (CVE-2020-25613)

Уязвимость библиотеки WEBrick языка программирования Ruby, связанная с некорректной проверкой значения заголовка, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2021-03-21
Описание

Уязвимость библиотеки WEBrick языка программирования Ruby связана с некорректной проверкой значения заголовка. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Fedora (33)Ruby (до 2.5.8 включительно)Ruby (от 2.6.0 до 2.6.6 включительно)Ruby (от 2.7.0 до 2.7.1 включительно)ОСОН ОСнова Оnyx (до 2.4.3)ОС ОН «Стрелец» (до 16.01.2023)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YTZURYROG3FFED3TYCQOBV66BS4K6WOV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PFP3E7KXXT3H3KA6CBZPUOGA5VPFARRJ/

Для Ruby:
https://github.com/ruby/webrick/commit/8946bb38b4d87549f0d99ed73c62c41933f97cc7

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-25613

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения ruby2.5 до версии 2.5.5-repack1-3.osnova4

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ruby2.3 до версии 2.3.3-1+deb9u9.osnova2
Обновление программного обеспечения jruby до версии 1.7.26+repack-1+deb9u3.osnova6

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jruby до версии 9.1.17.0+repack-3+deb10u1osnova1

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
http-request-smuggling-cve-2020-25613/https://github.com/ruby/webrick/commit/8946bb38b4d87549f0d99ed73c62c41933f97cc7https://hackerone.com/reports/965267https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PFP3E7KXXT3H3KA6CBZPUOGA5VPFARRJ/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YTZURYROG3FFED3TYCQOBV66BS4K6WOV/https://nvd.nist.gov/vuln/detail/CVE-2020-25613https://security-tracker.debian.org/tracker/CVE-2020-25613https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена