Debian DLA-1796-1：jruby 安全性更新

critical Nessus Plugin ID 125297

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在 jruby (Ruby 程式設計語言的 Java 實作) 中發現多個弱點。CVE-2018-1000074 在擁有者命令中含有一個未受信任資料還原序列化弱點，可導致程式碼執行。受害者必須在具有特製 YAML 檔案的 gem 上執行 `gem owner` 命令，似乎才可惡意利用此攻擊 CVE-2018-1000075 ruby gem 套件 tar 標頭中的負數大小弱點導致的無限迴圈，可能導致負數大小，進而導致無限迴圈 CVE-2018-1000076 未正確驗證 package.rb 中密碼編譯簽名弱點可導致安裝未簽名的 gem，因為 tarball 可能包含多個 gem 簽名。CVE-2018-1000077 ruby gems 規格首頁屬性中的不當輸入驗證弱點可導致惡意的 gem 設定無效的首頁 URL CVE-2018-1000078 gem 伺服器首頁屬性顯示中的跨網站指令碼 (XSS) 弱點可導致 XSS。受害者必須瀏覽易受攻擊的 gem 伺服器上的惡意 gem，才可能惡意利用此攻擊 CVE-2019-8321 Gem::UserInteraction#verbose 呼叫但未逸出，則可能插入逸出序列 CVE-2019-8322 gem owner 命令將 API 回應的內容直接輸出到 stdout。因此，如果特製回應，則可能會發生逸出序列插入 CVE-2019-8323 Gem::GemcutterUtilities#with_response 可能將 API 回應按照原樣輸出到 stdout。因此，若 API 端修改回應，可能會發生逸出序列插入。CVE-2019-8324 未正確處理具有多行名稱的特製 gem。因此，攻擊者可將任意程式碼插入到 gemspec 的 stub 行 CVE-2019-8325 Gem::CommandManager#run 呼叫 alert_error 但未逸出，則可能插入逸出序列。(導致錯誤發生的方式有很多。)針對 Debian 8「Jessie」，這些問題已在 1.5.6-9~deb8u1 版本中修正。建議您升級 jruby 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。