ГлавнаяБаза уязвимостей БДУ → BDU:2021-05203
5высокая

BDU:2021-05203 (CVE-2021-22904)

Уязвимость логики Token Authentication компонента Action Controller плагина actionpack программной платформы Ruby on Rails, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-10-27
Описание

Уязвимость логики Token Authentication компонента Action Controller плагина actionpack программной платформы Ruby on Rails связана с недостаточно строгими регулярными выражениями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ruby on Rails (до 5.2.4.6)Ruby on Rails (от 5.2.5 до 5.2.6)Ruby on Rails (от 6.0.0 до 6.0.3.7)Ruby on Rails (от 6.1.0 до 6.1.3.2)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для Ruby on Rails:
использование рекомендаций производителя: https://github.com/advisories/GHSA-7wjx-3g7j-8584

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22904

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:
Обновление программного обеспечения rails до версии 2:5.2.2.1+dfsg-1+deb10u3

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет rails до 2:4.2.7.1-1+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения rails до версии 2:4.2.7.1-1+deb9u5

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://discuss.rubyonrails.org/t/cve-2021-22904-possible-dos-vulnerability-in-action-controller-token-authentication/77869https://github.com/advisories/GHSA-7wjx-3g7j-8584https://nvd.nist.gov/vuln/detail/CVE-2021-22904https://security-tracker.debian.org/tracker/CVE-2021-22904https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена