ГлавнаяБаза уязвимостей БДУ → BDU:2022-03068
4.9средняя

BDU:2022-03068 (CVE-2022-28738)

Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-05-23
Описание

Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании с помощью специально созданных объектов класса Regexp

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Альт 8 СПRed Hat Enterprise Linux (9)Ruby (от 3.0.0 до 3.0.4)Ruby (от 3.1.0 до 3.1.2)АЛЬТ СП 10
Способ устранения

Использование рекомендаций:
Для Ruby :
https://www.ruby-lang.org/en/news/2022/04/12/double-free-in-regexp-compilation-cve-2022-28738/
https://github.com/ruby/ruby/commit/052ec6d2585c3ace95671013d336f5543624ef3d
https://github.com/ruby/ruby/commit/73f45e5e96ccc13a131f7c0122cf8600ce5b930f

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-28738

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-28738

Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://hackerone.com/reports/1220911https://security-tracker.debian.org/tracker/CVE-2022-28738https://www.ruby-lang.org/en/news/2022/04/12/double-free-in-regexp-compilation-cve-2022-28738/https://access.redhat.com/security/cve/cve-2022-28738https://security-tracker.debian.org/tracker/CVE-2022-28738https://github.com/ruby/ruby/commit/052ec6d2585c3ace95671013d336f5543624ef3dhttps://github.com/ruby/ruby/commit/73f45e5e96ccc13a131f7c0122cf8600ce5b930f
Проверьте безопасность своего сайта и почты → Полная проверка домена