BDU:2021-05203
АО "НППКТ", Rails Core Team, АО «Концерн ВНИИНС», Сообщество свободного программного обеспечения, ОО Astra Linux Special Edition для «Эльбрус», Ruby on Rails, Astra Linux Special Edition, ОС ОН «Стреле
2021-05-01
Уязвимость логики Token Authentication компонента Action Controller плагина actionpack программной платформы Ruby on Rails связана с недостаточно строгими регулярными выражениями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Ruby on Rails: использование рекомендаций производителя: https://github.com/advisories/GHSA-7wjx-3g7j-8584
Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22904
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа: Обновление программного обеспечения rails до версии 2:5.2.2.1+dfsg-1+deb10u3
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет rails до 2:4.2.7.1-1+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения rails до версии 2:4.2.7.1-1+deb9u5