BDU:2020-01362: Уязвимость программной библиотеки Nokogiri, связанная с непринятием мер по чистке данных на управляющем уровне, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости Уязвимость программной библиотеки Nokogiri связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор Canonical Ltd., Novell Inc., Сообщество свободного программного обеспечения, АО "НППКТ"
Наименование ПО Ubuntu, SUSE Enterprise Storage, SUSE OpenStack Cloud, Debian GNU/Linux, SUSE OpenStack Cloud Crowbar, HPE Helion Openstack, Nokogiri, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 4 (SUSE Enterprise Storage)
  • 7 (SUSE OpenStack Cloud)
  • 8.0 (Debian GNU/Linux)
  • 19.04 (Ubuntu)
  • 8 (SUSE OpenStack Cloud)
  • 8 (SUSE OpenStack Cloud Crowbar)
  • 8 (HPE Helion Openstack)
  • 19.10 (Ubuntu)
  • до 1.10.3 включительно (Nokogiri)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Непринятие мер по чистке данных на управляющем уровне (Внедрение в команду)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 16.08.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Nokogiri:
https://github.com/sparklemotion/nokogiri/issues/1915

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-5477/

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5477.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/09/msg00027.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-nokogiri до версии 1.10.0+dfsg1-2+deb10u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения