ГлавнаяБаза уязвимостей БДУ → BDU:2024-02580
7.8высокая

BDU:2024-02580

Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack, связанная с неконтролируемым потреблением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-04-04
Описание

Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack связана с созданием входных данных, которые могут привести к тому, что анализ заголовка Content-Disposition в Rack займет неожиданное количество времени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Common Edition (1.6 «Смоленск»)ОСОН ОСнова Оnyx (до 2.8)АЛЬТ СП 10Rack (от 2.1.0 до 2.1.4.2)Rack (от 1.5.0 до 2.0.9.2)Rack (от 2.2.0 до 2.2.6.1)Rack (от 3.0.0 до 3.0.4.1)
Способ устранения

Для rack:
https://github.com/rack/rack/commit/4e33ad10bf5f16d25c156f905bcc548e7f787bc3
https://github.com/rack/rack/commit/9b5fb5c7ef0e39b959a6c5c0005d9af44a29d6f8
https://github.com/rack/rack/commit/ee25ab9a7ee981d7578f559701085b0cf39bde77

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u3

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
обновить пакет ruby-rack до 2.0.6-3+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для ОС Astra Linux:
обновить пакет ruby-rack до 1.6.4-4+deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/rack/rack/commit/4e33ad10bf5f16d25c156f905bcc548e7f787bc3https://github.com/rack/rack/commit/9b5fb5c7ef0e39b959a6c5c0005d9af44a29d6f8https://github.com/rack/rack/commit/ee25ab9a7ee981d7578f559701085b0cf39bde77https://redos.red-soft.ru/support/secure/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена