ГлавнаяБаза уязвимостей БДУ → BDU:2024-08621
5средняя

BDU:2024-08621 (CVE-2024-39908)

Уязвимость набора инструментов XML для Ruby REXML, связанная с неконтролируемым пот реблением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-10-29
Описание

Уязвимость набора инструментов XML для Ruby REXML связана с неконтролируемым пот реблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat 3scale API Management Platform (2)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (9)Fedora (39)Astra Linux Special Edition (1.8)Ruby (до 3.3.2)Astra Linux Special Edition (3.8)
Способ устранения

Использование рекомендаций:
Для Ruby:
https://www.ruby-lang.org/en/news/2024/07/16/dos-rexml-cve-2024-39908/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-39908

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2024-2fb325d068

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-39908

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra5+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОС Astra Linux:
обновить пакет ruby2.5 до 2.5.5-3+deb10u10.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет ruby2.5 до 2.5.5-3+deb10u10.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://github.com/ruby/rexml/security/advisories/GHSA-4xqq-m2hx-25v8https://redos.red-soft.ru/support/secure/https://www.ruby-lang.org/en/news/2024/07/16/dos-rexml-cve-2024-39908/https://access.redhat.com/security/cve/cve-2024-39908https://bodhi.fedoraproject.org/updates/FEDORA-2024-2fb325d068https://security-tracker.debian.org/tracker/CVE-2024-39908https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена