ГлавнаяБаза уязвимостей БДУ → BDU:2024-08622
5средняя

BDU:2024-08622 (CVE-2024-35176)

Уязвимость набора инструментов XML для Ruby REXML, связанная с неконтролируемым потреблением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-10-29
Описание

Уязвимость набора инструментов XML для Ruby REXML связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (8)Red Hat Storage (3)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Fedora (39)Astra Linux Special Edition (1.8)Ruby (до 3.2.7)Astra Linux Special Edition (3.8)
Способ устранения

Использование рекомендаций:
Для Ruby:
https://www.ruby-lang.org/en/news/2024/05/16/dos-rexml-cve-2024-35176/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-35176

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2024-2fb325d068

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-35176

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra5+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОС Astra Linux:
обновить пакет ruby2.5 до 2.5.5-3+deb10u10.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет ruby2.5 до 2.5.5-3+deb10u10.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://github.com/ruby/rexml/commit/4325835f92f3f142ebd91a3fdba4e1f1ab7f1cfbhttps://github.com/ruby/rexml/security/advisories/GHSA-vg3r-rm7w-2xghhttps://redos.red-soft.ru/support/secure/https://www.ruby-lang.org/en/news/2024/05/16/dos-rexml-cve-2024-35176/https://access.redhat.com/security/cve/cve-2024-35176https://bodhi.fedoraproject.org/updates/FEDORA-2024-2fb325d068https://security-tracker.debian.org/tracker/CVE-2024-35176https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена