ГлавнаяБаза уязвимостей БДУ → BDU:2021-05269
5высокая

BDU:2021-05269 (CVE-2021-22885)

Уязвимость справок redirect_to и polymorphic_url компонента Action Pack программной платформы Ruby on Rails, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2021-11-02
Описание

Уязвимость справок redirect_to и polymorphic_url компонента Action Pack программной платформы Ruby on Rails связана с утечкой информации в сообщениях об ошибках. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ruby on Rails (от 5.2.0.0 до 5.2.4.6)Ruby on Rails (от 6.0.0.0 до 6.0.3.7)Ruby on Rails (от 6.1.0.0 до 6.1.3.1)Astra Linux Special Edition (1.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для Ruby on Rails:
использование рекомендаций производителя: https://github.com/advisories/GHSA-hjg4-8q5f-x6fm

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22885

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:
Обновление программного обеспечения rails до версии 2:5.2.2.1+dfsg-1+deb10u3

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет rails до 2:4.2.7.1-1+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения rails до версии 2:4.2.7.1-1+deb9u5

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://github.com/advisories/GHSA-hjg4-8q5f-x6fmhttps://github.com/rails/rails/commit/c4c21a9f8d7c9c8ca6570bdb82d64e2dc860e62chttps://hackerone.com/reports/1106652https://nvd.nist.gov/vuln/detail/CVE-2021-22885https://security-tracker.debian.org/tracker/CVE-2021-22885https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена