Debian DLA-263-1:ruby1.9.1 安全性更新
high Nessus Plugin ID 84494
語系:
概要
遠端 Debian 主機缺少一個安全性更新。說明
在 Ruby 語言解譯器 1.9.1 版中發現兩個弱點。CVE-2012-5371
Jean-Philippe Aumasson 發現,Ruby 可在沒有正確限制預先觸發雜湊衝突能力的情況下計算雜湊值,進而允許內容相依的攻擊者造成拒絕服務 (CPU 消耗)。此弱點與 CVE-2011-4815 不同。
CVE-2013-0269
Thomas Hollstegge 和 Ben Murphy 發現,適用於 Ruby 的 JSON gem 允許遠端攻擊者透過特製的 JSON 文件,觸發任意 Ruby 符號或特定內部物件的建立,藉此造成拒絕服務 (資源消耗) 或繞過大量指派保護機制。
針對 squeeze 發行版本,這些問題已在 ruby1.9.1 的 1.9.2.0-2+deb6u5 版本中修正。建議您升級 ruby1.9.1 套件。
注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
升級受影響的套件。另請參閱
https://lists.debian.org/debian-lts-announce/2015/07/msg00000.html
Plugin 詳細資訊
嚴重性: High
ID: 84494
檔案名稱: debian_DLA-263.nasl
版本: 2.6
類型: local
代理程式: unix
已發布: 2015/7/2
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:libruby1.9.1, p-cpe:/a:debian:debian_linux:libruby1.9.1-dbg, p-cpe:/a:debian:debian_linux:libtcltk-ruby1.9.1, p-cpe:/a:debian:debian_linux:ri1.9.1, p-cpe:/a:debian:debian_linux:ruby1.9.1, p-cpe:/a:debian:debian_linux:ruby1.9.1-dev, p-cpe:/a:debian:debian_linux:ruby1.9.1-elisp, p-cpe:/a:debian:debian_linux:ruby1.9.1-examples, p-cpe:/a:debian:debian_linux:ruby1.9.1-full, cpe:/o:debian:debian_linux:6.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/7/1
參考資訊
CVE: CVE-2012-5371, CVE-2013-0269