Уязвимость BDU:2022-01318

Дата: 09.03.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-01318.

Наименование уязвимости: Уязвимость модуля Active Storage программной платформы Ruby on Rails, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость модуля Active Storage программной платформы Ruby on Rails связана с ошибками при генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Novell Inc. openSUSE Tumbleweed — | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 5.2.0 до 5.2.6.3 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 6.0.0 до 6.0.4.7 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 6.1.0 до 6.1.4.7 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 7.0.0 до 7.0.2.3 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 09.03.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— формирование списка разрешений для принятых методов преобразования или аргументов;
— настройка политики безопасности ImageMagick.

Информация от производителя:
https://rubysec.com/advisories/CVE-2022-21831/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-21831.html.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-21831.

Тип ошибки CWE: CWE-94
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://security.snyk.io/vuln/SNYK-RUBY-ACTIVESTORAGE-2420035
https://github.com/advisories/GHSA-w749-p3v6-hccq
https://groups.google.com/g/rubyonrails-security/c/n-p-W1yxatI
https://rubysec.com/advisories/CVE-2022-21831/
https://github.com/rails/rails/commit/0a72f7d670e9aa77a0bb8584cb1411ddabb7546e
https://www.suse.com/security/cve/CVE-2022-21831.html

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.