ГлавнаяБаза уязвимостей БДУ → BDU:2023-03870
5средняя

BDU:2023-03870 (CVE-2023-28755)

Уязвимость компонента URI языка программирования Ruby, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-07-20
Описание

Уязвимость компонента URI языка программирования Ruby связана с некорректной реализацией обработки недопустимых URL-адресов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Ruby (до 3.4.11)Mruby (до 3.2.2)ОСОН ОСнова Оnyx (до 2.9)ОСОН ОСнова Оnyx (до 2.12)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Для RubyGems:
использование рекомендаций производителя: https://github.com/rubygems/rubygems/pull/6558

Для Ruby:
использование рекомендаций производителя: https://www.ruby-lang.org/en/news/2023/03/28/redos-in-uri-cve-2023-28755/

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-28755

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jruby до версии 9.1.17.0+repack-3+deb10u1osnova1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Обновление программного обеспечения ruby2.5 до версии 2.5.5.repack-3+deb10u6.osnova2u1

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения rubygems до версии 3.3.15-2+deb12u1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://github.com/ruby/ruby/commit/8ce4ab146498879b65e22f1be951b25eebb79300https://github.com/ruby/uri/commit/eaf89cc31619d49e67c64d0b58ea9dc38892d175https://github.com/ruby/uri/releases/https://github.com/rubygems/rubygems/pull/6558https://github.com/rubysec/ruby-advisory-db/blob/master/gems/uri/CVE-2023-28755.ymlhttps://nvd.nist.gov/vuln/detail/CVE-2023-28755https://security-tracker.debian.org/tracker/CVE-2023-28755https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена