ГлавнаяБаза уязвимостей БДУ → BDU:2024-01716
5средняя

BDU:2024-01716 (CVE-2024-26146)

Уязвимость модуля Rack интерпретатора языка программирования Ruby, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-03-04
Описание

Уязвимость модуля Rack интерпретатора языка программирования Ruby связана с некорректной реализацией обработки недопустимых URL-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)Rack (до 3.0.9.1)Rack (до 2.2.8.1)Rack (до 2.0.9.4)Rack (до 2.1.4.4)ОСОН ОСнова Оnyx (до 2.11)
Способ устранения

Использование рекомендаций:
Для Rack:
https://discuss.rubyonrails.org/t/possible-denial-of-service-vulnerability-in-rack-header-parsing/84942

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u4

Для ОС Astra Linux:
обновить пакет ruby-rack до 2.0.6-3+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет ruby-rack до 2.0.6-3+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет ruby-rack до 1.6.4-4+deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://discuss.rubyonrails.org/t/possible-denial-of-service-vulnerability-in-rack-header-parsing/84942https://github.com/rack/rack/commit/30b8e39a578b25d4bdcc082c1c52c6f164b59716https://github.com/rack/rack/commit/6c5d90bdcec0949f7ba06db62fb740dab394b582https://github.com/rack/rack/commit/a227cd793778c7c3a827d32808058571569cda6fhttps://github.com/rack/rack/commit/e4c117749ba24a66f8ec5a08eddf68deeb425ccdhttps://github.com/rack/rack/security/advisories/GHSA-54rr-7fvw-6x8fhttps://github.com/rubysec/ruby-advisory-db/blob/master/gems/rack/CVE-2024-26146.ymlhttps://vuldb.com/ru/?id.254600
Проверьте безопасность своего сайта и почты → Полная проверка домена