安全公告/【CVE-2023-22796】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:rubygem-activesupport
CVSS评分:7.5
发现日期:2024/9/19
修复日期:2024/10/10
修复版本:rubygem-activesupport-5.2.4.4-2

漏洞描述

Active Support <6.1.7.1 和 <7.0.4.1 中存在基于正则表达式的 DoS 漏洞。传递给下划线方法的特制字符串可能会导致正则表达式引擎进入灾难性回溯状态。这会导致进程使用大量 CPU 和内存,从而可能导致 DoS 漏洞。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
yum install rubygem-activesupport-5.2.4.4-1.rf01.zkhq8

补丁