ГлавнаяБаза уязвимостей БДУ → BDU:2024-02457
3.7средняя

BDU:2024-02457 (CVE-2024-27281)

Уязвимость встроенного генератора документации RDoc для языка программирования Ruby, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-02
Описание

Уязвимость встроенного генератора документации RDoc для языка программирования Ruby связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально сформированных файлов с расширением .rdoc_options

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat Satellite (6)rdoc (до 6.3.4.1)rdoc (от 6.4.0 до 6.6.3.1)Ruby (3.3.0)Ruby (до 3.0.6 включительно)Ruby (от 3.1.0 до 3.1.4 включительно)Ruby (от 3.2.0 до 3.2.3 включительно)
Способ устранения

Использование рекомендаций:
Для программных продуктов Ruby Team:
https://www.ruby-lang.org/en/news/2024/03/21/rce-rdoc-cve-2024-27281/
https://github.com/ruby/rdoc/commit/da7a0c7553ef7250ca665a3fecdc01dbaacbb43d

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-27281

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-27281

Для ОС Astra Linux:
обновить пакет ruby2.5 до 2.5.5-3+deb10u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет ruby2.5 до 2.5.5-3+deb10u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл3.7 — средняя опасность
Источники и патчи
https://www.ruby-lang.org/en/news/2024/03/21/rce-rdoc-cve-2024-27281/https://bugzilla.redhat.com/show_bug.cgi?id=2270749https://access.redhat.com/security/cve/cve-2024-27281https://github.com/ruby/rdoc/commit/da7a0c7553ef7250ca665a3fecdc01dbaacbb43dhttps://docs.ruby-lang.org/en/master/RDoc/Options.htmlhttps://security-tracker.debian.org/tracker/CVE-2024-27281https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена