ГлавнаяБаза уязвимостей БДУ → BDU:2022-01318
10критическая

BDU:2022-01318 (CVE-2022-21831)

Уязвимость модуля Active Storage программной платформы Ruby on Rails, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-03-18
Описание

Уязвимость модуля Active Storage программной платформы Ruby on Rails связана с ошибками при генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
openSUSE TumbleweedRuby on Rails (от 5.2.0 до 5.2.6.3)Ruby on Rails (от 6.0.0 до 6.0.4.7)Ruby on Rails (от 6.1.0 до 6.1.4.7)Ruby on Rails (от 7.0.0 до 7.0.2.3)ОСОН ОСнова Оnyx (до 2.6)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- формирование списка разрешений для принятых методов преобразования или аргументов;
- настройка политики безопасности ImageMagick.

Информация от производителя:
https://rubysec.com/advisories/CVE-2022-21831/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-21831.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rails до версии 2:5.2.2.1+dfsg-1+deb10u5

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://security.snyk.io/vuln/SNYK-RUBY-ACTIVESTORAGE-2420035https://github.com/advisories/GHSA-w749-p3v6-hccqhttps://groups.google.com/g/rubyonrails-security/c/n-p-W1yxatIhttps://rubysec.com/advisories/CVE-2022-21831/https://github.com/rails/rails/commit/0a72f7d670e9aa77a0bb8584cb1411ddabb7546ehttps://www.suse.com/security/cve/CVE-2022-21831.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Проверьте безопасность своего сайта и почты → Полная проверка домена