Описание
Уязвимость встроенного генератора документации RDoc для языка программирования Ruby связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
Fedora Project
Ruby Team
АО "НППКТ"
АО «ИВК»
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
Red Hat Software Collections
Astra Linux Special Edition для «Эльбрус»
Fedora
Ruby
rdoc
ОСОН ОСнова Оnyx
АЛЬТ СП 10
Версия ПО
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
20.04 LTS (Ubuntu)
20.10 (Ubuntu)
21.04 (Ubuntu)
34 (Fedora)
16.04 ESM (Ubuntu)
до 3.0.1 включительно (Ruby)
от 3.11 до 6.3.1 (rdoc)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.4.3 (ОСОН ОСнова Оnyx)
- (АЛЬТ СП 10)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 20.10
Canonical Ltd. Ubuntu 21.04
Fedora Project Fedora 34
Canonical Ltd. Ubuntu 16.04 ESM
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» АЛЬТ СП 10 -
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости
Использование рекомендаций
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/10/msg00009.html
Для ruby:
https://www.ruby-lang.org/en/news/2021/05/02/os-command-injection-in-rdoc/
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5020-1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MWXHK5UUHVSHF7HTHMX6JY3WXDVNIHSL/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-31799
Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН Основа:
Обновление программного обеспечения ruby2.5 до версии 2.5.5-repack1-3.osnova4
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет ruby2.3 до 2.3.3-1+deb9u11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 70%
0.00645
Низкий
7 High
CVSS3
6.9 Medium
CVSS2
Связанные уязвимости
CVSS3: 7
ubuntu
почти 4 года назад
In RDoc 3.11 through 6.x before 6.3.1, as distributed with Ruby through 3.0.1, it is possible to execute arbitrary code via | and tags in a filename.
CVSS3: 7
redhat
около 4 лет назад
In RDoc 3.11 through 6.x before 6.3.1, as distributed with Ruby through 3.0.1, it is possible to execute arbitrary code via | and tags in a filename.
CVSS3: 7
nvd
почти 4 года назад
In RDoc 3.11 through 6.x before 6.3.1, as distributed with Ruby through 3.0.1, it is possible to execute arbitrary code via | and tags in a filename.
CVSS3: 7
debian
почти 4 года назад
In RDoc 3.11 through 6.x before 6.3.1, as distributed with Ruby throug ...
EPSS
Процентиль: 70%
0.00645
Низкий
7 High
CVSS3
6.9 Medium
CVSS2