Уязвимость реализации стандарта JSON Web Encryption (JWE) RFC 7516 языка программирования Ruby связана с некорректной проверкой целостности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть и изменить защищаемую информацию
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для фильтрации сетевого трафика;
- использование DLP-систем для контроля действий пользователей с целью предотвращения утечки защищаемой информации;
- ключей шифрования в случае выявления факта их компрометации;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости.
Использование рекомендаций:
https://github.com/jwt/ruby-jwe/commit/1e719d79ba3d7aadaa39a2f08c25df077a0f9ff1
| Балл | 9.4 — критическая опасность |