Ruby是一種可擴(kuò)展的�����、解釋性的、面向?qū)ο蟮哪_本語言�����。它具有處理文本文件和執(zhí)行系統(tǒng)管理任務(wù)的功能��。8月5日,RedHat發(fā)布了安全更新��,修復(fù)了紅帽Ruby腳本語言中發(fā)現(xiàn)的任意代碼執(zhí)行等重要漏洞。以下是漏洞詳情:MZH28資訊網(wǎng)——每日最新資訊28at.com
漏洞詳情MZH28資訊網(wǎng)——每日最新資訊28at.com
來源:https://access.redhat.com/errata/RHSA-2022:0708MZH28資訊網(wǎng)——每日最新資訊28at.com
1.CVE-2020-36327 CVSS評分:8.8 嚴(yán)重程度:高MZH28資訊網(wǎng)——每日最新資訊28at.com
在安裝受源限制的gem包的依賴項時�����,Bundler 確定源存儲庫的方式存在漏洞����。在使用多個gem存儲庫并明確定義要從哪個源存儲庫安裝某些 gem 的配置中,如果該存儲庫提供了更高版本的包�,則可以從不同的源安裝受源限制的gem的依賴項���。這可能導(dǎo)致安裝惡意gem版本和執(zhí)行任意代碼���。MZH28資訊網(wǎng)——每日最新資訊28at.com
2.CVE-2021-41817 CVSS評分:7.5 嚴(yán)重程度:中MZH28資訊網(wǎng)——每日最新資訊28at.com
在 ruby 中發(fā)現(xiàn)了一個漏洞����,發(fā)現(xiàn)日期對象在解析日期期間容易受到正則表達(dá)式拒絕服務(wù) (ReDoS) 的攻擊���。此漏洞允許攻擊者通過提供特制的日期字符串來掛起 ruby 應(yīng)用程序���。此漏洞的最大威脅是系統(tǒng)可用性���。MZH28資訊網(wǎng)——每日最新資訊28at.com
3.CVE-2021-41819 CVSS評分:7.5 嚴(yán)重程度:中MZH28資訊網(wǎng)——每日最新資訊28at.com
Ruby 到 2.6.8 中的 CGI::Cookie.parse 錯誤處理 cookie 名稱中的安全前綴�。這也通過 Ruby 的 0.3.0 影響了 CGI gem。MZH28資訊網(wǎng)——每日最新資訊28at.com
4.CVE-2021-32066 CVSS評分:7.4 嚴(yán)重程度:中MZH28資訊網(wǎng)——每日最新資訊28at.com
Ruby 的 Net::IMAP 模塊在收到對 STARTTLS 命令的意外響應(yīng)并且連接未升級為使用 TLS 時沒有引發(fā)異常��。中間人攻擊者可以利用此漏洞阻止 Ruby 應(yīng)用程序使用 Net::IMAP 為與 IMAP 服務(wù)器的連接啟用 TLS 加密�,然后竊聽或修改通過純文本連接發(fā)送的數(shù)據(jù)。MZH28資訊網(wǎng)——每日最新資訊28at.com
5.CVE-2021-31799 CVSS評分:7.0 嚴(yán)重程度:中MZH28資訊網(wǎng)——每日最新資訊28at.com
在 RDoc 中發(fā)現(xiàn)了一個操作系統(tǒng)命令注入漏洞����。使用 rdoc 命令為惡意 Ruby 源代碼生成文檔可能會導(dǎo)致以運行 rdoc 的用戶的權(quán)限執(zhí)行任意命令�����。MZH28資訊網(wǎng)——每日最新資訊28at.com
受影響產(chǎn)品和版本MZH28資訊網(wǎng)——每日最新資訊28at.com
Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64MZH28資訊網(wǎng)——每日最新資訊28at.com
Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7 s390xMZH28資訊網(wǎng)——每日最新資訊28at.com
Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7 ppc64leMZH28資訊網(wǎng)——每日最新資訊28at.com
Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64MZH28資訊網(wǎng)——每日最新資訊28at.com
解決方案MZH28資訊網(wǎng)——每日最新資訊28at.com
rh-ruby26-ruby 的更新現(xiàn)在可用于 Red Hat Software Collections。MZH28資訊網(wǎng)——每日最新資訊28at.com
有關(guān)如何應(yīng)用此更新的詳細(xì)信息(包括此通報中描述的更改)�,請參閱:MZH28資訊網(wǎng)——每日最新資訊28at.com
https://access.redhat.com/articles/11258MZH28資訊網(wǎng)——每日最新資訊28at.com
查看更多漏洞信息 以及升級請訪問官網(wǎng):MZH28資訊網(wǎng)——每日最新資訊28at.com
https://access.redhat.com/security/security-updates/#/security-advisoriesMZH28資訊網(wǎng)——每日最新資訊28at.com
本文鏈接:http://m.www897cc.com/showinfo-119-2195-0.html云安全日報220301: 紅帽Ruby腳本語言發(fā)現(xiàn)任意代碼執(zhí)行漏洞���,需要盡快升級
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識�,若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系���,我們將在第一時間刪除處理����。郵件:2376512515@qq.com
上一篇: 一篇帶給你Tekton系列之安裝篇
下一篇: 可溶于水的機(jī)器人見過嗎?明膠和糖3D打印而成
津公網(wǎng)安備 12010102000574號