BDU:2024-02580
АО "НППКТ", ООО «Ред Софт», АО «ИВК», ООО «РусБИТех-Астра», Leah Neukirchen Astra Linux Common Edition, АЛЬТ СП 10, Astra Linux Special Edition, ОСОН ОСнова Оnyx, РЕД ОС, Rack
2023-02-09
Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack связана с созданием входных данных, которые могут привести к тому, что анализ заголовка Content-Disposition в Rack займет неожиданное количество времени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для rack: https://github.com/rack/rack/commit/4e33ad10bf5f16d25c156f905bcc548e7f787bc3 https://github.com/rack/rack/commit/9b5fb5c7ef0e39b959a6c5c0005d9af44a29d6f8 https://github.com/rack/rack/commit/ee25ab9a7ee981d7578f559701085b0cf39bde77
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения ruby-rack до версии 2.0.6-3+deb10u3
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux Special Edition 1.7: обновить пакет ruby-rack до 2.0.6-3+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для ОС Astra Linux: обновить пакет ruby-rack до 1.6.4-4+deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16