BDU:2022-01823

Опубликовано: 30 июн. 2021

Источник: fstec

CVSS3: 8.4

CVSS2: 7.2

EPSS Низкий

Описание

Уязвимость функции mrb_default_allocf интерпретатора языка Ruby Mruby связана с повторным освобождением памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

Yukihiro Matsumoto, et al.

Наименование ПО

Debian GNU/Linux

Mruby

Версия ПО

9 (Debian GNU/Linux)

10 (Debian GNU/Linux)

11 (Debian GNU/Linux)

до 3.0.0 (Mruby)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)

Возможные меры по устранению уязвимости

Для Mruby:

использование рекомендаций производителя: https://github.com/mruby/mruby/commit/97319697c8f9f6ff27b32589947e1918e3015503

Для Debian:

использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-36401

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-36401
CVE

EPSS

Процентиль: 47%

0.00242

Низкий

8.4 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

CVE-2020-36401

CVSS3: 7.8

ubuntu

больше 4 лет назад

mruby 2.1.2 has a double free in mrb_default_allocf (called from mrb_free and obj_free).

CVE-2020-36401

CVSS3: 7.8

nvd

больше 4 лет назад

mruby 2.1.2 has a double free in mrb_default_allocf (called from mrb_free and obj_free).

CVE-2020-36401

CVSS3: 7.8

debian

больше 4 лет назад

mruby 2.1.2 has a double free in mrb_default_allocf (called from mrb_f ...

GHSA-qq64-7fh7-7hmw

github

больше 3 лет назад

mruby 2.1.2 has a double free in mrb_default_allocf (called from mrb_free and obj_free).

EPSS

Процентиль: 47%

0.00242

Низкий

8.4 High

CVSS3

7.2 High

CVSS2