В Банк данных угроз безопасности информации (BDU) поступила запись о критической уязвимости, затронувшей одновременно популярную Open Source-библиотеку для управления сессиями и сертифицированное российское средство защиты информации. Речь идет о проблеме в компоненте Rack::Session, который широко применяется в веб-приложениях на языке Rust, а также в программном комплексе средств виртуализации "Брест" от компании "РусБИТех-Астра". Уязвимость получила идентификаторы BDU:2026-09334 и CVE-2026-39324.
Детали уязвимости
Разработчики библиотеки Rack::Session допустили ошибку в процедуре аутентификации. Эта ошибка классифицируется как CWE-287 - "Неправильная аутентификация". По сути, злоумышленник может удаленно отправить специально сформированный запрос и вызвать отказ в обслуживании. Однако оценки по шкале CVSS говорят о более серьезных последствиях. Базовый вектор по версии CVSS 3.1 составляет 9,8 балла из десяти возможных. Это критический уровень опасности.
Такой высокий балл означает, что для эксплуатации не требуется аутентификация и не нужно взаимодействие с пользователем. Атака возможна удаленно по сети. При этом потенциальный ущерб оценивается как полный - нарушитель может получить доступ ко всем трем базовым аспектам безопасности: конфиденциальности, целостности и доступности данных. Злоумышленник может не только обрушить сервер, но и украсть или подменить хранящиеся в сессиях данные.
Почему это важно для российского рынка. В записи BDU указано, что уязвимость присутствует в версиях Rack::Session от 2.0.0 до 2.1.2. Эта библиотека является частью экосистемы Rust - современного языка системного программирования, который все чаще применяется для создания высоконагруженных серверных решений, в том числе в критической инфраструктуре. Помимо этого, проблема затронула российскую операционную систему "Брест", построенную на ядре Linux и предназначенную для виртуализации и защиты информации. Производитель подтвердил уязвимость. Под угрозой оказались все версии "Бреста" до 4.0.2 включительно.
Стоит подчеркнуть, что в документации к уязвимости указан тип ошибки как "уязвимость архитектуры". Это не простая опечатка в коде, а системная проблема на уровне проектирования механизма аутентификации. Исправление потребовало внесения изменений непосредственно в логику работы библиотеки. Разработчики из Samuel Williams, поддерживающие Rack::Session, уже выпустили патч. Ссылки на коммит и рекомендации по обновлению опубликованы в открытом доступе на платформе GitHub.
Что касается "Бреста", производитель, компания "РусБИТех-Астра", подготовила оперативное обновление до версии 4.0.2. Пользователям рекомендовано скачать его через личный кабинет на портале поддержки. Уязвимость считается устраненной, если установлена актуальная версия.
Механизм управления сессиями отвечает за то, чтобы сервер "помнил" каждого пользователя. Обычно это реализуется через уникальные идентификаторы - сессионные токены. Если процедура аутентификации сломана, злоумышленник может подделать такой токен или заставить сервер обработать некорректный запрос. В худшем случае это приводит к классической атаке типа "отказ в обслуживании". Но поскольку оценки CVSS указывают на возможный компромисс всех трех аспектов безопасности, нельзя исключать сценарии с удаленным выполнением кода или утечкой данных. В описании уязвимости способ эксплуатации указан как "нарушение аутентификации". Это значит, что злоумышленнику достаточно отправить специально сформированный сетевой пакет, чтобы обойти проверки.
Рекомендации для специалистов. Немедленно проверить версии используемых библиотек. Для Rack::Session - установить обновление из репозитория проекта. Для "Бреста" - скачать и установить версию 4.0.2. Не откладывать обновление "на потом", так как наличие подтвержденной производителем уязвимости с оценкой 9,8 означает, что эксплойт может появиться в открытом доступе в любой момент. Пока данные об эксплойте уточняются, но ждать его публикации не стоит.
Этот инцидент лишний раз демонстрирует, что уязвимости в Open Source-компонентах способны распространяться на целые экосистемы, включая сертифицированные средства защиты. Крупные российские вендоры, использующие популярные открытые библиотеки, должны внимательно отслеживать обновления безопасности и оперативно выпускать патчи. Иначе даже надежно защищенная ОС окажется уязвимой через сторонний компонент.
Ссылки
- https://bdu.fstec.ru/vul/2026-09334
- https://www.cve.org/CVERecord?id=CVE-2026-39324
- https://github.com/rack/rack-session/commit/f43638cb3a4d15c3ecaf59e67a04b47fda08eeac
- https://github.com/rack/rack-session/security/advisories/GHSA-33qg-7wpp-89cq
- https://nvd.nist.gov/vuln/detail/CVE-2026-39324
- https://security-tracker.debian.org/tracker/CVE-2026-39324