Amazon Linux AMI:ruby20 (ALAS-2020-1416)

high Nessus Plugin ID 139550
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

The remote Amazon Linux AMI host is missing a security update.

描述

在 Ruby 2.3.8 之前版本、2.4.x 的 2.4.5 之前版本、2.5.x 的 2.5.2 之前版本,以及 2.6.x 的 2.6.0 預覽 3 之前版本的 Ruby 中發現一個問題。它不會污染因使用某些格式解壓縮受污染字串而產生的字串。
(CVE-2018-16396)

在 Ruby 2.4 至 2.4.9、2.5 至 2.5.7 以及 2.6 至 2.6.5 版本中使用的 JSON gem 2.2.0 及之前版本中,有一個不安全的物件建立弱點。這與 CVE-2013-0269 相當類似,但不依賴 Ruby 內不良的記憶體回收行為。
具體而言,使用 JSON 剖析方法可導致在解譯器中建立惡意物件,並產生與應用程式相關的負面影響。(CVE-2020-10663)

解決方案

Run 'yum update ruby20' to update your system.

另請參閱

https://alas.aws.amazon.com/ALAS-2020-1416.html

Plugin 詳細資訊

嚴重性: High

ID: 139550

檔案名稱: ala_ALAS-2020-1416.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2020/8/13

已更新: 2020/8/13

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

風險因素: High

基本分數: 8.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

弱點資訊

CPE: p-cpe:/a:amazon:linux:ruby20, p-cpe:/a:amazon:linux:ruby20-debuginfo, p-cpe:/a:amazon:linux:ruby20-devel, p-cpe:/a:amazon:linux:ruby20-doc, p-cpe:/a:amazon:linux:ruby20-irb, p-cpe:/a:amazon:linux:ruby20-libs, p-cpe:/a:amazon:linux:rubygem20-bigdecimal, p-cpe:/a:amazon:linux:rubygem20-io-console, p-cpe:/a:amazon:linux:rubygem20-psych, p-cpe:/a:amazon:linux:rubygems20, p-cpe:/a:amazon:linux:rubygems20-devel, cpe:/o:amazon:linux

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

修補程式發佈日期: 2020/8/12

弱點發布日期: 2018/11/16

參考資訊

CVE: CVE-2018-16396, CVE-2020-10663

ALAS: 2020-1416