Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-00752

Опубликовано: 17 июн. 2019
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость модуля Gem::UserInteraction системы управления пакетами RubyGems связана с недостаточным экранированием. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить целостность данных при помощи специально сформированной escape-последовательности

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
Novell Inc.
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Debian GNU/Linux
Astra Linux Special Edition
Astra Linux Common Edition
Red Hat Enterprise Linux
OpenSUSE Leap
Red Hat Software Collections
rubygems
CloudForms Management Engine
ОС ОН «Стрелец»

Версия ПО

14.04 LTS (Ubuntu)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
от 2.6 до 3.0.2 включительно (rubygems)
5.10 (CloudForms Management Engine)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для jruby:
Обновление программного обеспечения до 1.5.6-9+deb8u1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета jruby) до 1.5.6-9+deb8u1 или более поздней версии
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.html
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Обновление программного обеспечения (пакета jruby) до 1.5.6-9+deb8u1 или более поздней версии
Для Ubuntu:
https://usn.ubuntu.com/3945-1/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-8321
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jruby до версии 1.7.26+repack-1+deb9u3.osnova6

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00332
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-8321

CVSS3: 7.5
ubuntu
больше 6 лет назад

An issue was discovered in RubyGems 2.6 and later through 3.0.2. Since Gem::UserInteraction#verbose calls say without escaping, escape sequence injection is possible.

redhat логотип

CVE-2019-8321

CVSS3: 5.3
redhat
почти 7 лет назад

An issue was discovered in RubyGems 2.6 and later through 3.0.2. Since Gem::UserInteraction#verbose calls say without escaping, escape sequence injection is possible.

nvd логотип

CVE-2019-8321

CVSS3: 7.5
nvd
больше 6 лет назад

An issue was discovered in RubyGems 2.6 and later through 3.0.2. Since Gem::UserInteraction#verbose calls say without escaping, escape sequence injection is possible.

debian логотип

CVE-2019-8321

CVSS3: 7.5
debian
больше 6 лет назад

An issue was discovered in RubyGems 2.6 and later through 3.0.2. Since ...

github логотип

GHSA-fr32-gr5c-xq5c

CVSS3: 7.5
github
больше 6 лет назад

RubyGems Escape sequence injection vulnerability in verbose

EPSS

Процентиль: 56%
0.00332
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2