ГлавнаяБаза уязвимостей БДУ → BDU:2024-06652
6.4средняя

BDU:2024-06652 (CVE-2024-26144)

Уязвимость компонента Active Storage программной платформы Ruby on Rails, связанная с раскрытием конфиденциальной информации неавторизованному лицу, позволяющая нарушителю получить конфиденциальную информацию
Опубликовано: 2024-09-03
Описание

Уязвимость компонента Active Storage программной платформы Ruby on Rails связана с отправкой заголовока Set-Cookie вместе с cookie сеанса пользователя при обслуживании больших двоичных объектов. Эксплуатация уязвимости может позволить нарушителю получить конфиденциальную информацию

Затрагиваемое ПО и версии
РЕД ОС (7.3)Ruby on Rails (до 6.1.7.7)Ruby on Rails (до 7.0.8.1)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Для Ruby on Rails:
https://discuss.rubyonrails.org/t/possible-sensitive-session-information-leak-in-active-storage/84945
https://github.com/rails/rails/commit/723f54566023e91060a67b03353e7c03e7436433
https://github.com/rails/rails/commit/78fe149509fac5b05e54187aaaef216fbb5fd0d3
https://github.com/rails/rails/security/advisories/GHSA-8h22-8cf7-hq6g
https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activestorage/CVE-2024-26144.yml

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения rails до версии 2:6.1.7.10+dfsg-1~deb12u1

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://discuss.rubyonrails.org/t/possible-sensitive-session-information-leak-in-active-storage/84945https://github.com/rails/rails/commit/723f54566023e91060a67b03353e7c03e7436433https://github.com/rails/rails/commit/78fe149509fac5b05e54187aaaef216fbb5fd0d3https://github.com/rails/rails/security/advisories/GHSA-8h22-8cf7-hq6ghttps://github.com/rubysec/ruby-advisory-db/blob/master/gems/activestorage/CVE-2024-26144.ymlhttps://redos.red-soft.ru/support/secure/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/3.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена