ГлавнаяБаза уязвимостей БДУ → BDU:2022-05714
7.8высокая

BDU:2022-05714 (CVE-2021-41817)

Уязвимость методов разбора даты языка программирования Ruby, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-09-14
Описание

Уязвимость методов разбора даты языка программирования Ruby связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Mruby (от 2.6.0 до 2.6.9)Mruby (от 2.7.0 до 2.7.5)Mruby (от 3.0.0 до 3.0.3)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)АЛЬТ СП 10
Способ устранения

Для Ruby:
использование рекомендаций производителя: https://www.ruby-lang.org/en/news/2021/11/15/date-parsing-method-regexp-dos-cve-2021-41817/

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-41817

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения ruby2.5 до версии 2.5.5-repack1-3.osnova4

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет ruby2.3 до 2.3.3-1+deb9u11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/ruby/date/commit/376c65942bd1d81803f14d37351737df60ec4664https://github.com/ruby/date/commit/3959accef8da5c128f8a8e2fd54e932a4fb253b0https://github.com/ruby/date/commit/8f2d7a0c7e52cea8333824bd527822e5449ed83dhttps://nvd.nist.gov/vuln/detail/CVE-2021-41817https://security-tracker.debian.org/tracker/CVE-2021-41817https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47https://www.ruby-lang.org/en/news/2021/11/15/date-parsing-method-regexp-dos-cve-2021-41817/
Проверьте безопасность своего сайта и почты → Полная проверка домена