ГлавнаяБаза уязвимостей БДУ → BDU:2022-04201
10критическая

BDU:2022-04201 (CVE-2022-30123)

Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack, связанная с неправильной нейтрализацией специальных элементов используемых в команде ОС, позволяющая нарушителю выполнять произвольные команды оболочки в целевой системе
Опубликовано: 2022-07-08
Описание

Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack связана с неправильной проверкой ввода при обработке данных, передаваемых через промежуточное ПО Rack Lint и промежуточное ПО CommonLogger. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передавать специально созданные данные приложению и выполнять произвольные команды ОС в целевой системе

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (10)Red Hat Storage (3)OpenSUSE Leap (15.3)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)OpenSUSE Leap (15.4)Red Hat Satellite (6)Rack (до 2.0.9.1)Rack (до 2.1.4.1)Rack (до 2.2.3.1)ОСОН ОСнова Оnyx (до 2.6)Astra Linux Common Edition (1.6 «Смоленск»)АЛЬТ СП 10
Способ устранения

Использование рекомендаций:
Для Rack:
https://github.com/advisories/GHSA-wq4h-7r42-5hrr

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-30123

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-30123.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-30123

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u1

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
обновить пакет ruby-rack до 2.0.6-3+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для ОС Astra Linux:
обновить пакет ruby-rack до 1.6.4-4+deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/advisories/GHSA-wq4h-7r42-5hrrhttps://security-tracker.debian.org/tracker/CVE-2022-30123http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://www.suse.com/security/cve/CVE-2022-30123.htmlhttps://access.redhat.com/security/cve/cve-2022-30123https://goslinux.fssp.gov.ru/2726972/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена