Debian DLA-2330-1:jruby 安全性更新

high Nessus Plugin ID 139628

Synopsis

遠端 Debian 主機缺少一個安全性更新。

描述

修正了 JRuby (Ruby 的 100% 純 Java 實作) 中的數個弱點。

CVE-2017-17742 CVE-2019-16254

在 WEBrick 的 HTTP 伺服器中發生的 HTTP 回應分割攻擊。

CVE-2019-16201

WEBrick 的 Digest 存取驗證中存在的規則運算式拒絕服務弱點。

CVE-2019-8320

解壓縮 tar 時刪除使用符號連結的目錄。

CVE-2019-8321

verbose 中的逸出序列插入弱點 。

CVE-2019-8322

gem owner 中的逸出序列插入弱點。

CVE-2019-8323

API 回應處理中的逸出序列插入弱點。

CVE-2019-8324

安裝惡意 gem 可能導致任意程式碼執行。

CVE-2019-8325

錯誤中的逸出序列插入弱點。

CVE-2019-16255

Shell#[] 和 Shell#test 的程式碼插入弱點。

針對 Debian 9「Stretch」,已在 1.7.26-1+deb9u2 版本中修正這些問題。

建議您升級 jruby 套件。

如需有關 jruby 安全性狀態的詳細資訊,請參閱其安全追蹤頁面: https://security-tracker.debian.org/tracker/jruby

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的 jruby 套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2020/08/msg00027.html

https://packages.debian.org/source/stretch/jruby

https://security-tracker.debian.org/tracker/source-package/jruby

Plugin 詳細資訊

嚴重性: High

ID: 139628

檔案名稱: debian_DLA-2330.nasl

版本: 1.3

類型: local

代理程式: unix

已發布: 2020/8/18

已更新: 2022/5/13

支持的傳感器: Frictionless Assessment Agent, Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 8.8

時間分數: 6.5

媒介: AV:N/AC:M/Au:N/C:N/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2019-8320

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:jruby, cpe:/o:debian:debian_linux:9.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2020/8/16

弱點發布日期: 2018/4/3

參考資訊

CVE: CVE-2017-17742, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255, CVE-2019-8320, CVE-2019-8321, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324, CVE-2019-8325