ГлавнаяБаза уязвимостей БДУ → BDU:2021-05398
6.9высокая

BDU:2021-05398 (CVE-2021-31799)

Уязвимость встроенного генератора документации RDoc для языка программирования Ruby, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2021-11-11
Описание

Уязвимость встроенного генератора документации RDoc для языка программирования Ruby связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.04 LTS)Ubuntu (20.10)Ubuntu (21.04)Fedora (34)Ubuntu (16.04 ESM)Ruby (до 3.0.1 включительно)rdoc (от 3.11 до 6.3.1)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)АЛЬТ СП 10
Способ устранения

Использование рекомендаций
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/10/msg00009.html

Для ruby:
https://www.ruby-lang.org/en/news/2021/05/02/os-command-injection-in-rdoc/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5020-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MWXHK5UUHVSHF7HTHMX6JY3WXDVNIHSL/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-31799

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения ruby2.5 до версии 2.5.5-repack1-3.osnova4

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет ruby2.3 до 2.3.3-1+deb9u11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл6.9 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2021-31799https://security-tracker.debian.org/tracker/CVE-2021-31799https://lists.debian.org/debian-lts-announce/2021/10/msg00009.htmlhttps://www.ruby-lang.org/en/news/2021/05/02/os-command-injection-in-rdoc/https://ubuntu.com/security/CVE-2021-31799https://ubuntu.com/security/notices/USN-5020-1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MWXHK5UUHVSHF7HTHMX6JY3WXDVNIHSL/https://access.redhat.com/security/cve/CVE-2021-31799
Проверьте безопасность своего сайта и почты → Полная проверка домена