ГлавнаяБаза уязвимостей БДУ → BDU:2024-01715
5средняя

BDU:2024-01715 (CVE-2024-25126)

Уязвимость модуля Rack интерпретатора языка программирования Ruby, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-03-04
Описание

Уязвимость модуля Rack интерпретатора языка программирования Ruby связана с некорректной реализацией обработки недопустимых URL-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Rack (до 3.0.9.1)Rack (до 2.2.8.1)ОСОН ОСнова Оnyx (до 2.11)
Способ устранения

Использование рекомендаций:
Для Rack:
https://discuss.rubyonrails.org/t/denial-of-service-vulnerability-in-rack-content-type-parsing/84941

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u4

Для ОС Astra Linux:
обновить пакет ruby-rack до 2.0.6-3+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет ruby-rack до 2.0.6-3+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://discuss.rubyonrails.org/t/denial-of-service-vulnerability-in-rack-content-type-parsing/84941https://github.com/rack/rack/commit/6efb2ceea003c4b195815a614e00438cbd543462https://github.com/rack/rack/commit/d9c163a443b8cadf4711d84bd2c58cb9ef89cf49https://github.com/rack/rack/security/advisories/GHSA-22f2-v57c-j9cxhttps://github.com/rubysec/ruby-advisory-db/blob/master/gems/rack/CVE-2024-25126.ymlhttps://vuldb.com/ru/?id.254599http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/
Проверьте безопасность своего сайта и почты → Полная проверка домена