BDU:2019-00512
ООО «РусБИТех-Астра», Ruby Team Ruby, Astra Linux Special Edition
Дата обнаружения
2017-12-14
Официальное описание
Уязвимость команд Net::FTP интерпретатора языка программирования Ruby связана с ошибкой фильтрации входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольную команду при открытии локального файла командами Net::FTP#get, Net::FTP#getbinaryfile, Net::FTP#gettextfile, Net::FTP#put, Net::FTP#putbinaryfile и Net::FTP#puttextfile с использованием аргумента localfile путем добавления в начало его значения символа конвейеризации «|»
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Ruby: Обновление программного обеспечения до 2.5.3-3 или более поздней версии
Для Astra Linux: Обновление программного обеспечения (пакета ruby2.3) до 2.3.3-1+deb9u3 или более поздней версии