BDU:2024-06512
АО "НППКТ", Rails Core Team, ООО «Ред Софт» Rails Html Sanitizer, РЕД ОС, ОСОН ОСнова Оnyx
2022-12-14
Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с внедрением контента, если разработчик приложения переопределил разрешенные теги "math" и "style" или "svg" и "style". Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Rails Html Sanitizer: https://github.com/rails/rails-html-sanitizer/security/advisories/GHSA-9h9g-93gc-623h https://github.com/flavorjones/loofah/blob/main/docs/2022-10-decision-on-cdata-nodes.md https://github.com/rails/rails-html-sanitizer/commit/e6d52d3b6db99d07399498b1287997302d444a8d https://github.com/rails/rails-html-sanitizer/commit/0713caf2ee23801cfb85e37065cf406368b20082 https://github.com/rails/rails-html-sanitizer/commit/68ccf7e1dbaa425cc4a8651d5f583e754ef5061c https://github.com/rails/rails-html-sanitizer/commit/373fc6295918c4b0aad02111e869f4e0c6fc788b
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u2