ГлавнаяБаза уязвимостей БДУ → BDU:2024-02579
7.8высокая

BDU:2024-02579

Уязвимость компонента анализа заголовка Range модульного интерфейса между веб-серверами и веб-приложениями Rack, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-04-04
Описание

Уязвимость компонента анализа заголовка Range модульного интерфейса между веб-серверами и веб-приложениями Rack связана с обработкой входных данных, что может занять неожиданное количество времени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Common Edition (1.6 «Смоленск»)ОСОН ОСнова Оnyx (до 2.8)АЛЬТ СП 10Rack (от 2.1.0 до 2.1.4.2)Rack (от 1.5.0 до 2.0.9.2)Rack (от 2.2.0 до 2.2.6.1)Rack (от 3.0.0 до 3.0.4.1)
Способ устранения

Для rack:
https://github.com/rack/rack/commit/52721ae0b730e3920ad5375dfd5a3ea9b4f9e359
https://github.com/rack/rack/commit/f66ef5c8255dcea82c1b2665fc9ab948b76bb437
https://github.com/rack/rack/commit/f6d4f528f2df1318a6612845db0b59adc7fe8fc1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u3

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
обновить пакет ruby-rack до 2.0.6-3+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для ОС Astra Linux:
обновить пакет ruby-rack до 1.6.4-4+deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/rack/rack/commit/52721ae0b730e3920ad5375dfd5a3ea9b4f9e359https://github.com/rack/rack/commit/f66ef5c8255dcea82c1b2665fc9ab948b76bb437https://github.com/rack/rack/commit/f6d4f528f2df1318a6612845db0b59adc7fe8fc1https://redos.red-soft.ru/support/secure/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена