BDU:2022-03068: Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость реализации класса Regexp интерпретатора языка программирования Ruby связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании с помощью специально созданных объектов класса Regexp
Вендор Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Ред Софт», АО «ИВК», Ruby Team
Наименование ПО Debian GNU/Linux, Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, Ruby
Версия ПО
  • 9 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 11 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • - (Альт 8 СП)
  • 9 (Red Hat Enterprise Linux)
  • от 3.0.0 до 3.0.4 (Ruby)
  • от 3.1.0 до 3.1.2 (Ruby)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • АО «ИВК» Альт 8 СП -
  • Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки Выход операции за границы буфера в памяти, Повторное освобождение
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.04.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Ruby :
https://www.ruby-lang.org/en/news/2022/04/12/double-free-in-regexp-compilation-cve-2022-28738/
https://github.com/ruby/ruby/commit/052ec6d2585c3ace95671013d336f5543624ef3d
https://github.com/ruby/ruby/commit/73f45e5e96ccc13a131f7c0122cf8600ce5b930f

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-28738

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-28738

Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения