ГлавнаяБаза уязвимостей БДУ → BDU:2024-09876
7.8высокая

BDU:2024-09876 (CVE-2024-49761)

Уязвимость набора инструментов XML для Ruby REXML, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании»
Опубликовано: 2024-11-19
Описание

Уязвимость набора инструментов XML для Ruby REXML связана с использованием регулярного выражения c неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «отказ в обслуживании»

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Ubuntu (22.04 LTS)Ubuntu (24.04 LTS)Astra Linux Special Edition (1.8)Ubuntu (24.10)REXML (до 3.3.9)МСВСфера (9.5)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций производителя:
Для Ruby REXML:
https://www.ruby-lang.org/en/news/2024/10/28/redos-rexml-cve-2024-49761/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-49761

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-49761

Для ОС Astra Linux:
обновить пакет ruby3.1 до 3.1.2-7+deb12u1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:10858?lang=ru

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/ruby/rexml/commit/ce59f2eb1aeb371fe1643414f06618dbe031979fhttps://github.com/ruby/rexml/security/advisories/GHSA-2rxp-v6pw-ch6mhttps://redos.red-soft.ru/support/secure/https://www.ruby-lang.org/en/news/2024/10/28/redos-rexml-cve-2024-49761/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:10858?lang=ru
Проверьте безопасность своего сайта и почты → Полная проверка домена