openSUSE 安全性更新:RubyOnRails (openSUSE-SU-2013:0338-1)
critical Nessus Plugin ID 74900
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
Rails 2.3 堆疊上的 Ruby 已更新至 2.3.17。Rails 3.2 堆疊上的 Ruby 已更新至 3.2.12。Ruby Rack 已更新至 1.1.6。Ruby Rack 已更新至 1.2.8。Ruby Rack 已更新至 1.3.10。Ruby Rack 已更新至 1.4.5。
更新可修正多種安全性問題與錯誤。
- 2.3.17 版的更新 (bnc#803336、bnc#803339) CVE-2013-0276 CVE-2013-0277:
- 3.2.12 版的更新 (bnc#803336) CVE-2013-0276:
- 3.2.12 版的更新 (bnc#803336) CVE-2013-0276:
attr_protected 的問題,其中格式錯誤的輸入可規避防護功能
- 2.3.17 版的更新 (bnc#803336、bnc#803339) CVE-2013-0276 CVE-2013-0277:
- 修正格式錯誤的輸入可能造成規避防護功能的 attr_protected 問題
- 修正序列化屬性 YAML 弱點
- 2.3.17 版的更新 (bnc#803336、bnc#803339) CVE-2013-0276 CVE-2013-0277:
- 修正格式錯誤的輸入可能造成規避防護功能的 attr_protected 問題
- 修正序列化屬性 YAML 弱點
- 3.2.12 版的更新 (bnc#803336) CVE-2013-0276:
- 引用與非數值欄進行比較的數值。否則,在一些資料庫中,會將字串欄值強制性轉為允許 0、0.0 或 false 的數值,以符合以非數字開頭的任何字串。
- 1.1.6 版的更新 (bnc#802794)
- 修正 CVE-2013-0263 (對 Rack::Session::Cookie 的定時攻擊)
- 1.2.8 版的更新 (bnc#802794)
- 修正 CVE-2013-0263 (對 Rack::Session::Cookie 的定時攻擊)
- 1.3.10 版的更新 (bnc#802794)
- 修正 CVE-2013-0263 (對 Rack::Session::Cookie 的定時攻擊)
- 1.4.5 的 ruby rack 更新 (bnc#802794 bnc#802795)
- 修正 CVE-2013-0263 (對 Rack::Session::Cookie 的定時攻擊)
- 修正 CVE-2013-0262,Rack::File 中的符號連結路徑遊走
- 1.4.4 的 ruby rack 更新 (bnc#798452)
- [SEC] Rack::Auth::AbstractRequest 不再符號化任意字串 (CVE-2013-0184)
- 來自 1.4.3 的 ruby rack 變更
- 安全性:防止大型 multipart 邊界中的無限制讀取 (CVE-2013-0183)
- 來自 1.4.2 的 ruby rack 變更 (CVE-2012-6109)
- 在使用者不提供工作階段密碼時新增警告
- 修正不具引號檔案名稱的剖析效能
- 更新 URI 反向移植
- 修正 URI 反向移植版本比對,並隱藏不斷出現的警告
- 更正具有空白值的參數剖析
- 更正 rackup '-I' 旗標,以允許多次使用
- 更正 rackup pidfile 處理
- 正確報告 rackup 行數
- 修正具有時間限制之非過時 nonce 造成的要求迴圈
- 修正 Windows 上的重新載入程式
- 防止因 Response#to_ary 造成無限遞迴
- 多種中介軟體更好地符合內文關閉規格
- 更新內文關閉規格的語言
- 關於 ECMA 逸出相容性問題的其他提示
- 修正範圍標頭中多個範圍的剖析
- 防止因空白參數金鑰發生錯誤
- 將 PATCH 動詞新增至 Rack::Request
- 多種文件更新
- 修正工作階段合併語意 (修正 rack-test)
- Rack::Static:索引現可處理多個目錄
- 所有測試現在都會使用 Rack::Lint (特別感謝 Lars Gierth)
- Rack::File cache_control 參數現在已過時,且已由 1.5 移除
- 更正 Rack::Directory 指令碼名稱逸出
- Rack::Static 支援複雜組態的標頭規則
- Multipart 剖析現在會在沒有 Content-Length 標頭的情況下運作
- Zachary Scott 提供的新標誌!
- Rack::BodyProxy 現在會明確定義 #each,其對 C 延伸模組非常有用
- 未進行 URI 逸出的 Cookie 不會再造成例外狀況
解決方案
更新受影響的 RubyOnRails 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=798452
https://bugzilla.novell.com/show_bug.cgi?id=802794
https://bugzilla.novell.com/show_bug.cgi?id=802795
https://bugzilla.novell.com/show_bug.cgi?id=803336
https://bugzilla.novell.com/show_bug.cgi?id=803339
https://lists.opensuse.org/opensuse-updates/2013-02/msg00071.html
Plugin 詳細資訊
嚴重性: Critical
ID: 74900
檔案名稱: openSUSE-2013-152.nasl
版本: 1.5
類型: local
代理程式: unix
已發布: 2014/6/13
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:rubygem-actionmailer, p-cpe:/a:novell:opensuse:rubygem-actionmailer-2_3, p-cpe:/a:novell:opensuse:rubygem-actionmailer-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-actionmailer-3_2, p-cpe:/a:novell:opensuse:rubygem-actionpack, p-cpe:/a:novell:opensuse:rubygem-actionpack-2_3, p-cpe:/a:novell:opensuse:rubygem-actionpack-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-actionpack-3_2, p-cpe:/a:novell:opensuse:rubygem-activemodel-3_2, p-cpe:/a:novell:opensuse:rubygem-activerecord, p-cpe:/a:novell:opensuse:rubygem-activerecord-2_3, p-cpe:/a:novell:opensuse:rubygem-activerecord-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-activerecord-3_2, p-cpe:/a:novell:opensuse:rubygem-activeresource, p-cpe:/a:novell:opensuse:rubygem-activeresource-2_3, p-cpe:/a:novell:opensuse:rubygem-activeresource-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-activeresource-3_2, p-cpe:/a:novell:opensuse:rubygem-activesupport, p-cpe:/a:novell:opensuse:rubygem-activesupport-2_3, p-cpe:/a:novell:opensuse:rubygem-activesupport-3_2, p-cpe:/a:novell:opensuse:rubygem-rack-1_1, p-cpe:/a:novell:opensuse:rubygem-rack-1_1-testsuite, p-cpe:/a:novell:opensuse:rubygem-rack-1_2, p-cpe:/a:novell:opensuse:rubygem-rack-1_2-testsuite, p-cpe:/a:novell:opensuse:rubygem-rack-1_3, p-cpe:/a:novell:opensuse:rubygem-rack-1_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-rack-1_4, p-cpe:/a:novell:opensuse:rubygem-rack-1_4-testsuite, p-cpe:/a:novell:opensuse:rubygem-rails, p-cpe:/a:novell:opensuse:rubygem-rails-2_3, p-cpe:/a:novell:opensuse:rubygem-rails-3_2, p-cpe:/a:novell:opensuse:rubygem-railties-3_2, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2013/2/14
參考資訊
CVE: CVE-2012-6109, CVE-2013-0183, CVE-2013-0184, CVE-2013-0262, CVE-2013-0263, CVE-2013-0276, CVE-2013-0277