BDU:2024-06652

Rails Core Team, ООО «Ред Софт» Ruby on Rails, РЕД ОС

НЕ ОЦЕНЕНО

Дата обнаружения

2024-02-27

Официальное описание

Уязвимость компонента Active Storage программной платформы Ruby on Rails связана с отправкой заголовока Set-Cookie вместе с cookie сеанса пользователя при обслуживании больших двоичных объектов. Эксплуатация уязвимости может позволить нарушителю получить конфиденциальную информацию

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Для Ruby on Rails: https://discuss.rubyonrails.org/t/possible-sensitive-session-information-leak-in-active-storage/84945 https://github.com/rails/rails/commit/723f54566023e91060a67b03353e7c03e7436433 https://github.com/rails/rails/commit/78fe149509fac5b05e54187aaaef216fbb5fd0d3 https://github.com/rails/rails/security/advisories/GHSA-8h22-8cf7-hq6g https://github.com/rubysec/ruby-advisory-db/blob/master/gems/activestorage/CVE-2024-26144.yml

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей