Описание
Уязвимость модуля Active Storage программной платформы Ruby on Rails связана с ошибками при генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Novell Inc.
Rails Core Team
АО "НППКТ"
Наименование ПО
openSUSE Tumbleweed
Ruby on Rails
ОСОН ОСнова Оnyx
Версия ПО
- (openSUSE Tumbleweed)
от 5.2.0 до 5.2.6.3 (Ruby on Rails)
от 6.0.0 до 6.0.4.7 (Ruby on Rails)
от 6.1.0 до 6.1.4.7 (Ruby on Rails)
от 7.0.0 до 7.0.2.3 (Ruby on Rails)
до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- формирование списка разрешений для принятых методов преобразования или аргументов;
- настройка политики безопасности ImageMagick.
Информация от производителя:
https://rubysec.com/advisories/CVE-2022-21831/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-21831.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rails до версии 2:5.2.2.1+dfsg-1+deb10u5
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
9.8 Critical
CVSS3
10 Critical
CVSS2
9.8 Critical
CVSS3
10 Critical
CVSS2