ГлавнаяБаза уязвимостей БДУ → BDU:2023-02020
7.8высокая

BDU:2023-02020 (CVE-2023-28756)

Уязвимость библиотеки Time интерпретатора Ruby, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-04-13
Описание

Уязвимость библиотеки Time интерпретатора Ruby связана с использованием регулярного выражения c неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Time Gem (0.1.0)Time Gem (0.2.1)Ruby (до 2.7.7 включительно)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.9)Astra Linux Special Edition (1.8)ОСОН ОСнова Оnyx (до 2.12)Astra Linux Special Edition (3.8)
Способ устранения

Использование рекомендаций производителя:
https://github.com/ruby/time/releases/
https://www.ruby-lang.org/en/downloads/releases/
https://www.ruby-lang.org/en/news/2022/12/25/ruby-3-2-0-released/
https://www.ruby-lang.org/en/news/2023/03/30/redos-in-time-cve-2023-28756/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jruby до версии 9.1.17.0+repack-3+deb10u1osnova1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Обновление программного обеспечения ruby2.5 до версии 2.5.5.repack-3+deb10u6.osnova2u1

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/ruby/time/releases/https://www.ruby-lang.org/en/downloads/releases/https://www.ruby-lang.org/en/news/2022/12/25/ruby-3-2-0-released/https://www.ruby-lang.org/en/news/2023/03/30/redos-in-time-cve-2023-28756/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена