ГлавнаяБаза уязвимостей БДУ → BDU:2023-00036
10критическая

BDU:2023-00036

Уязвимость библиотеки для создания PDF-файлов pdfkit, связанная с недостаточной проверкой аргументов, передаваемых в команду, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2023-01-05
Описание

Уязвимость библиотеки для создания PDF-файлов pdfkit связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды

Затрагиваемое ПО и версии
Fedora (35)Fedora (36)Fedora (37)pdfkit (до 0.8.7)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Использование рекомендаций:
Для pdfkit:
Обновление программного обеспечения до версии 0.8.7 и выше

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C36GAV3TKM3JXV6UVMLMTTDRCPKSNETQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ESWB6SX7HYWQ54UGBGQOZ7G24O6RAOKD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JFB2BFKH5SUGRKXMY6PWRQNGKZML7GDT/

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для фильтрации параметров, передаваемых PDFKit;
- очистка пользовательских данных, передаваемых в PDFKit для формирования URL-адреса.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C36GAV3TKM3JXV6UVMLMTTDRCPKSNETQ/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ESWB6SX7HYWQ54UGBGQOZ7G24O6RAOKD/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JFB2BFKH5SUGRKXMY6PWRQNGKZML7GDT/https://security.snyk.io/vuln/SNYK-RUBY-PDFKIT-2869795https://github.com/pdfkit/pdfkit/blob/master/lib/pdfkit/source.rb#L44-L50https://github.com/pdfkit/pdfkit/commit/c99414936e77730094dc8f9026dd109b6b4da5adhttps://github.com/pdfkit/pdfkit/pull/509
Проверьте безопасность своего сайта и почты → Полная проверка домена