BDU:2021-05269
АО "НППКТ", Rails Core Team, АО «Концерн ВНИИНС», Сообщество свободного программного обеспечения, ОО Astra Linux Special Edition для «Эльбрус», Ruby on Rails, Astra Linux Special Edition, ОС ОН «Стреле
2021-02-18
Уязвимость справок redirect_to и polymorphic_url компонента Action Pack программной платформы Ruby on Rails связана с утечкой информации в сообщениях об ошибках. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Ruby on Rails: использование рекомендаций производителя: https://github.com/advisories/GHSA-hjg4-8q5f-x6fm
Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22885
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа: Обновление программного обеспечения rails до версии 2:5.2.2.1+dfsg-1+deb10u3
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет rails до 2:4.2.7.1-1+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения rails до версии 2:4.2.7.1-1+deb9u5