Ruby是一種可擴展的、解釋性的、面向對象的腳本語言。它具有處理文本文件和執行系統管理任務的功能。8月5日,RedHat發布了安全更新，修復了紅帽Ruby腳本語言中發現的任意代碼執行等重要漏洞。以下是漏洞詳情：wjM28資訊網——每日最新資訊28at.com

漏洞詳情wjM28資訊網——每日最新資訊28at.com

來源：https://access.redhat.com/errata/RHSA-2022:0582wjM28資訊網——每日最新資訊28at.com

1.CVE-2020-36327 CVSS評分：8.8 嚴重程度：高wjM28資訊網——每日最新資訊28at.com

在安裝受源限制的gem包的依賴項時，Bundler 確定源存儲庫的方式存在漏洞。在使用多個gem存儲庫并明確定義要從哪個源存儲庫安裝某些 gem 的配置中，如果該存儲庫提供了更高版本的包，則可以從不同的源安裝受源限制的gem的依賴項。這可能導致安裝惡意gem版本和執行任意代碼。wjM28資訊網——每日最新資訊28at.com

2.CVE-2019-16255 CVSS評分：8.1 嚴重程度：中wjM28資訊網——每日最新資訊28at.com

Ruby 到 2.4.7、2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 允許代碼注入，如果第一個參數（又名“命令”參數）到 Shell#[] 或 Shell#test 在 lib/shell .rb 是不受信任的數據。攻擊者可以利用它來調用任意 Ruby 方法。wjM28資訊網——每日最新資訊28at.com

3.CVE-2020-25613 CVSS評分：7.5 嚴重程度：中wjM28資訊網——每日最新資訊28at.com

在 Ruby 2.5.8、2.6.x 到 2.6.6 和 2.7.x 到 2.7.1 中發現了一個問題。WEBrick 是一個與 Ruby 捆綁在一起的簡單 HTTP 服務器，它沒有嚴格檢查傳輸編碼標頭值。攻擊者可能會利用此問題繞過反向代理（其標頭檢查也很差），這可能導致 HTTP 請求走私攻擊。wjM28資訊網——每日最新資訊28at.com

4.CVE-2019-16201 CVSS評分：7.5 嚴重程度：中wjM28資訊網——每日最新資訊28at.com

Ruby 中的 WEBrick::HTTPAuth::DigestAuth 到 2.4.7、2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 有一個正則表達式拒絕服務，原因是循環/回溯。受害者必須將使用 DigestAuth 的 WEBrick 服務器暴露給 Internet 或不受信任的網絡。wjM28資訊網——每日最新資訊28at.com

5.CVE-2021-41817 CVSS評分：7.5 嚴重程度：中wjM28資訊網——每日最新資訊28at.com

在 ruby 中發現了一個漏洞，發現日期對象在解析日期期間容易受到正則表達式拒絕服務 (ReDoS) 的攻擊。此漏洞允許攻擊者通過提供特制的日期字符串來掛起 ruby 應用程序。此漏洞的最大威脅是系統可用性。wjM28資訊網——每日最新資訊28at.com

受影響產品和版本wjM28資訊網——每日最新資訊28at.com

Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.2 x86_64wjM28資訊網——每日最新資訊28at.com

Red Hat Enterprise Linux Server - AUS 8.2 x86_64wjM28資訊網——每日最新資訊28at.com

Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 8.2 s390xwjM28資訊網——每日最新資訊28at.com

Red Hat Enterprise Linux for Power, little endian - Extended Update Support 8.2 ppc64lewjM28資訊網——每日最新資訊28at.com

Red Hat Enterprise Linux Server - TUS 8.2 x86_64wjM28資訊網——每日最新資訊28at.com

Red Hat Enterprise Linux for ARM 64 - Extended Update Support 8.2 aarch64wjM28資訊網——每日最新資訊28at.com

Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 8.2 ppc64leRed Hat Enterprise Linux Server - Update Services for SAP Solutions 8.2 x86_64wjM28資訊網——每日最新資訊28at.com

解決方案wjM28資訊網——每日最新資訊28at.com

ruby:2.6 模塊的更新現在可用于 Red Hat Enterprise Linux 8.2 擴展更新支持。wjM28資訊網——每日最新資訊28at.com

有關如何應用此更新的詳細信息（包括此通報中描述的更改），請參閱：wjM28資訊網——每日最新資訊28at.com

https://access.redhat.com/articles/11258wjM28資訊網——每日最新資訊28at.com

查看更多漏洞信息 以及升級請訪問官網：wjM28資訊網——每日最新資訊28at.com

https://access.redhat.com/security/security-updates/#/security-advisorieswjM28資訊網——每日最新資訊28at.com

本文鏈接：http://m.www897cc.com/showinfo-119-2170-0.html云安全日報220222: 紅帽Ruby腳本語言發現任意代碼執行漏洞，需要盡快升級

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 谷歌AI一次注釋了10%的已知蛋白質序列，超過人類十年研究成果

下一篇： Kubernetes的高級部署策略集 譯文