ГлавнаяБаза уязвимостей БДУ → BDU:2021-04601
5высокая

BDU:2021-04601 (CVE-2021-22902)

Уязвимость обработчика регулярных выражений парсера Mime-типа функционала Action Dispatch фреймворка actionpack ruby gem программной платформы Ruby on Rails, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-09-20
Описание

Уязвимость обработчика регулярных выражений парсера Mime-типа функционала Action Dispatch фреймворка actionpack ruby gem программной платформы Ruby on Rails связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданных заголовков Accept

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (8)Debian GNU/Linux (10)Ruby on Rails (до 6.0.3.7)Ruby on Rails (от 6.0.4 до 6.1.3.2)
Способ устранения

Для Ruby on Rails:
использование рекомендаций производителя: https://github.com/advisories/GHSA-g8ww-46x2-2p65

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22902

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://discuss.rubyonrails.org/t/cve-2021-22902-possible-denial-of-service-vulnerability-in-action-dispatch/77866https://github.com/advisories/GHSA-g8ww-46x2-2p65https://github.com/rails/rails/commit/446afbd15360a347c923ca775b21a286dcb5297ahttps://nvd.nist.gov/vuln/detail/CVE-2021-22902https://security-tracker.debian.org/tracker/CVE-2021-22902
Проверьте безопасность своего сайта и почты → Полная проверка домена