偵測

Debian DLA-235-1:ruby1.9.1 安全性更新

medium Nessus Plugin ID 83907

語系:

概要

遠端 Debian 主機缺少一個安全性更新。

說明

CVE-2011-0188 在 Ruby 1.9.2-p136 及之前版本中,BigDecimal 類別之 bigdecimal.c 內的 VpMemAlloc 函式,如在 Apple Mac OS X 10.6.7 之前版本和其他平台中所使用,未正確配置記憶體,這會允許內容相依的攻擊者透過涉及 64 位元處理程序內較大 BigDecimal 值建立的向量,執行任意程式碼或造成拒絕服務 (應用程式損毀),與「整數截斷問題」相關。

CVE-2011-2705 使用上游 SVN r32050 修改 PRNG 狀態,防止在具有相同 pid 的分歧子處理程序中,發生亂數序列重複的情況。報告者:Eric Wong。

CVE-2012-4522 在 patchlevel 286 之前的 Ruby 1.9.3 版本以及 r37163 之前的 Ruby 2.0.0 版本中,file.c 內的 rb_get_path_check 函式可讓內容相依的攻擊者,透過檔案路徑中的 NUL 位元組,在非預期的位置或使用非預期的名稱建立檔案。

CVE-2013-0256 在 RDoc 2.3.0 到 3.12 版本以及 4.0.0.preview2.1 之前的 4.x 版本中的 darkfish.js,如在 Ruby 中所使用,未正確產生文件,這可讓遠端攻擊者透過特製的 URL,執行跨網站指令碼 (XSS) 攻擊。

CVE-2013-2065 Ruby 1.9.3 patchlevel 426 之前的 1.9 版本,以及 2.0.0 patchlevel 195 之前的 2.0 版本中的 (1) DL 和 (2) Fiddle,未對原生函式執行污染檢查,進而讓內容相依的攻擊者繞過預定的 $SAFE 等級限制。

CVE-2015-1855 OpenSSL 延伸模組主機名稱比對實作違反 RFC 6125 規定

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2015/05/msg00020.html

https://packages.debian.org/source/squeeze-lts/ruby1.9.1

Plugin 詳細資訊

嚴重性: Medium

ID: 83907

檔案名稱: debian_DLA-235.nasl

版本: 2.10

類型: local

代理程式: unix

已發布: 2015/6/1

已更新: 2021/1/11

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.8

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

風險因素: Medium

基本分數: 5.9

時間分數: 5.2

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:libruby1.9.1, p-cpe:/a:debian:debian_linux:libruby1.9.1-dbg, p-cpe:/a:debian:debian_linux:libtcltk-ruby1.9.1, p-cpe:/a:debian:debian_linux:ri1.9.1, p-cpe:/a:debian:debian_linux:ruby1.9.1, p-cpe:/a:debian:debian_linux:ruby1.9.1-dev, p-cpe:/a:debian:debian_linux:ruby1.9.1-elisp, p-cpe:/a:debian:debian_linux:ruby1.9.1-examples, p-cpe:/a:debian:debian_linux:ruby1.9.1-full, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/5/30

弱點發布日期: 2011/3/23

參考資訊

CVE: CVE-2011-0188, CVE-2011-2705, CVE-2012-4522, CVE-2013-0256, CVE-2013-2065, CVE-2015-1855

BID: 46950, 46966, 49015, 56115, 57785, 59881, 74446