BDU:2022-06004
АО "НППКТ", Fedora Project, Rails Core Team, ООО «Ред Софт» ОСОН ОСнова Оnyx, Fedora, РЕД ОС, Rails Html Sanitizer
2022-04-05
Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с некорректным использованием элементов select и style при переопределении разрешенных тегов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Rails Html Sanitizer : https://rubygems.org/gems/rails-html-sanitizer https://github.com/advisories/GHSA-pg8v-g4xq-hww9
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AGRLWBEB3S5AU3D4TTROIS7O6QPHDTRH/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NHDACMCLWE32BZZTSNWQPIFUAD5I6Q47/ https://koji.fedoraproject.org/koji/buildinfo?buildID=2042403 https://src.fedoraproject.org/rpms/rubygem-rails-html-sanitizer
Компенсирующие меры: При невозможности обновления необходимо удалить элемент select или style из переопределенных разрешенных тегов.
Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u1
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/