BDU:2022-00302
АО "НППКТ", Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Ruby Team Ruby, ОСОН ОСнова Оnyx, Astra Linux Special Edition, Debian GNU/Linux
2021-04-12
Уязвимость интерпретатора языка программирования Ruby связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Ruby: Использование рекомендаций производителя: https://www.ruby-lang.org/en/news/2021/04/05/xml-round-trip-vulnerability-in-rexml-cve-2021-28965/
Для Debian: Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-28965
Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа: Обновление программного обеспечения ruby2.5 до версии 2.5.5-repack1-3.osnova4
Для Astra Linux Special Edition 1.6 «Смоленск»:: обновить пакет ruby2.3 до 2.3.3-1+deb9u11+ci202405271842+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16