Идентификатор: BDU:2022-01318.
Наименование уязвимости: Уязвимость модуля Active Storage программной платформы Ruby on Rails, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость модуля Active Storage программной платформы Ruby on Rails связана с ошибками при генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Novell Inc. openSUSE Tumbleweed — | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 5.2.0 до 5.2.6.3 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 6.0.0 до 6.0.4.7 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 6.1.0 до 6.1.4.7 | Прикладное ПО информационных систем Rails Core Team Ruby on Rails от 7.0.0 до 7.0.2.3 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 09.03.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
— формирование списка разрешений для принятых методов преобразования или аргументов;
— настройка политики безопасности ImageMagick.
Информация от производителя:
https://rubysec.com/advisories/CVE-2022-21831/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-21831.html.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-21831.
Тип ошибки CWE: CWE-94
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://security.snyk.io/vuln/SNYK-RUBY-ACTIVESTORAGE-2420035
https://github.com/advisories/GHSA-w749-p3v6-hccq
https://groups.google.com/g/rubyonrails-security/c/n-p-W1yxatI
https://rubysec.com/advisories/CVE-2022-21831/
https://github.com/rails/rails/commit/0a72f7d670e9aa77a0bb8584cb1411ddabb7546e
https://www.suse.com/security/cve/CVE-2022-21831.html