偵測

MiracleLinux 3ruby-1.8.5-5.1.1AXS3 (AXSA:2008-86:01)

critical Nessus Plugin ID 284321

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到 AXSA:2008-86:01 公告中所提及的多個弱點影響的套件。

 Ruby 是一套解譯式指令碼語言,可輕鬆快速編寫物件導向程式。
 CVE 2008-2662在 Ruby 1.8.4 和更舊版本、 1.8.5 1.8.5-p231 之前的版本、 1.8.6 1.8.6-p230 之前的版本、1.8.7-p22 之前的 1.8.7 及 1.9.0 之前的 1.9.0-2 函式中多個整數溢位允許內容相依的攻擊者透過可觸發記憶體損毀的未知向量執行任意程式碼或造成拒絕服務此問題與 CVE-2008-2663、 CVE-2008-2664和 CVE-2008-2725不同。
 注意截至 20080624與 Ruby 相關的多個 CVE 識別碼使用方式一直存在不一致。此 CVE 描述應視為具有權威性但可能會變更。
 CVE 2008-2663在 Ruby 1.8.4 和更舊版本中、 1.8.5 1.8.5-p231 之前的 版、 1.8.6 1.8.6-p230 之前的 以及 1.8.7-p22 之前的 1.8.7 中多個整數溢位允許內容相依攻擊者會透過未知向量執行任意程式碼或造成拒絕服務此問題與 CVE-2008-2662、 CVE-2008-2664和 CVE-2008-2725不同。注意截至 20080624與 Ruby 相關的多個 CVE 識別碼使用方式一直存在不一致。CVE 描述應視為具有權威性但可能有所變更。
 CVE 2008-2664Ruby 1.8.4 和更舊版本、1.8.5-p231 之前的 1.8.51.8.6 版、1.8.6-p230 之前的 1.8.7 [] 版、1.8.7-p22 之前的 以及 1.9.0 之前的 1.9.0-2 中的 rb_str_format 函式允許內容相依的攻擊者透過與 alloca 相關的不明向量觸發記憶體損毀這是與 CVE-2008-2662、 CVE-2008-2663和 CVE-2008-2725不同的問題。注意截至 20080624與 Ruby 相關的多個 CVE 識別碼使用方式一直存在不一致。CVE 描述應視為具有權威性但可能有所變更。
 CVE 2008-2725在 Ruby 1.8.4 和更舊版本、 1.8.5 1.8.5-p231 之前的 版、 1.8.6 1.8.6-p230 之前的 以及 1.8.7-p22 之前的 1.8.7 版中rb_ary_splice 函式的整數溢位允許內容相依的攻擊者透過不明向量 (即 REALLOC_N 變體) 觸發記憶體損毀此問題與 CVE-2008-2662、 CVE-2008-2663和 CVE-2008-2664不同。注意截至 20080624與 Ruby 相關的多個 CVE 識別碼使用方式一直存在不一致。CVE 描述應視為具有權威性但可能有所變更。
 CVE 2008-2726在 Ruby 1.8.4 和更舊版本、 1.8.5 1.8.5-p231 之前的 [] 1.8.6-p230 之前的 1.8.6 1.8.7-p22 之前的 1.8.7 與 [] 之前的 中[] 和更舊版本、 1.9.0 和 1.9.0-2 允許內容相依的攻擊者觸發記憶體損毀亦即 beg + rlen 問題。注意截至 20080624與 Ruby 相關的多個 CVE 識別碼使用方式一直存在不一致。CVE 描述應視為具有權威性但可能有所變更。
 CVE 2008-2376在修訂版 17756 之前的 Ruby 中array.c 的 rb_ary_fill 函式中存有整數溢位內容相依的攻擊者因而得以透過以大於 ARY_MAX_SIZE 的開始 (即 beg) 引數。注意此問題之所以存在是因為其他密切相關的整數溢位修正不完整。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/183

Plugin 詳細資訊

嚴重性: Critical

ID: 284321

檔案名稱: miracle_linux_AXSA-2008-86.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2008-2663

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2008-2376

弱點資訊

CPE: p-cpe:/a:miracle:linux:ruby, p-cpe:/a:miracle:linux:ruby-irb, p-cpe:/a:miracle:linux:ruby-mode, p-cpe:/a:miracle:linux:ruby-docs, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:ruby-devel, p-cpe:/a:miracle:linux:ruby-libs, p-cpe:/a:miracle:linux:ruby-tcltk

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2008/9/22

弱點發布日期: 2008/6/23

參考資訊

CVE: CVE-2008-2376, CVE-2008-2662, CVE-2008-2663, CVE-2008-2664, CVE-2008-2725, CVE-2008-2726