ГлавнаяБаза уязвимостей БДУ → BDU:2023-03834
9высокая

BDU:2023-03834 (CVE-2021-33621)

Уязвимость компонента CGI языка программирования Ruby, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2023-07-20
Описание

Уязвимость компонента CGI языка программирования Ruby связана с возникновением конфликта интерпретаций при вставке ненадежных входных данных в заголовок HTTP-ответа. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Mruby (от 2.7.0 до 2.7.7)Mruby (от 3.0.0 до 3.0.5)Mruby (от 3.1.0 до 3.1.3)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Для Ruby:
использование рекомендаций производителя: https://www.ruby-lang.org/en/news/2022/11/22/http-response-splitting-in-cgi-cve-2021-33621/

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-33621

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Обновление программного обеспечения ruby2.5 до версии 2.5.5.repack-3+deb10u6.osnova2u1

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
http-response-splitting-in-cgi-cve-2021-33621/https://github.com/ruby/cgi/commit/64c5045c0a6b84fdb938a8465a0890e5f7162708https://github.com/ruby/cgi/commit/b46d41c36380e04f6388970b5ef05c687f4d1819https://github.com/rubysec/ruby-advisory-db/blob/master/gems/cgi/CVE-2021-33621.ymlhttps://nvd.nist.gov/vuln/detail/CVE-2021-33621https://security.netapp.com/advisory/ntap-20221228-0004/https://security-tracker.debian.org/tracker/CVE-2021-33621https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена