ГлавнаяБаза уязвимостей БДУ → BDU:2022-03067
7.1высокая

BDU:2022-03067 (CVE-2022-28739)

Уязвимость методов алгоритма преобразования строки в число с плавающей запятой Kernel#Float и String#to_f интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-05-23
Описание

Уязвимость методов алгоритма преобразования строки в число с плавающей запятой Kernel#Float и String#to_f интерпретатора языка программирования Ruby связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПRed Hat Enterprise Linux (9)Ruby (до 2.6.10)Ruby (от 2.7.0 до 2.7.6)Ruby (от 3.0.0 до 3.0.4)Ruby (от 3.1.0 до 3.1.2)Astra Linux Special Edition (4.7)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Использование рекомендаций:
Для Ruby :
https://www.ruby-lang.org/en/news/2022/04/12/buffer-overrun-in-string-to-float-cve-2022-28739/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-28739

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-28739

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для Astra Linux 1.6 «Смоленск»:
обновить пакет ruby2.3 до 2.3.3-1+deb9u11+ci202308151148+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Обновление программного обеспечения ruby2.5 до версии 2.5.5.repack-3+deb10u6.osnova2u1

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://hackerone.com/reports/1248108https://security-tracker.debian.org/tracker/CVE-2022-28739https://www.ruby-lang.org/en/news/2022/04/12/buffer-overrun-in-string-to-float-cve-2022-28739/https://nvd.nist.gov/vuln/detail/CVE-2022-28739https://bugzilla.redhat.com/show_bug.cgi?id=2075687https://access.redhat.com/security/cve/cve-2022-28739https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена