検出

RHEL 6:rubygem-passenger(RHSA-2013:1136)

medium Nessus プラグイン ID 119341

Language:

概要

リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。

説明

2つのセキュリティの問題を修正する更新済みのrubygem-passengerパッケージが、 Red Hat Enterprise Linux 1.2.2で利用可能になりました。Red Hatセキュリティーレスポンスチームは、この更新がセキュリティに与える影響を重要度中であると評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System(CVSS)のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。rubygem-passengerは、Ruby、Python、Node.jsアプリケーション用のWebサーバーです。rubygem-passenger gemが一時ディレクトリとファイルを安全でない方法で作成して再利用していました。ローカルの攻撃者がこれらの欠陥を悪用してサービス拒否攻撃を仕掛け、アプリケーションの操作を引き継ぎ、またはrubygem-passengerを実行しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-2119、CVE-2013-4136)注:デフォルトでは、OpenShift Enterpriseは/tmp/ディレクトリに(ユーザーごとに)多インスタンス化を使用するため、ローカルの攻撃者がCVE-2013-2119とCVE-2013-4136の両方を悪用することによるリスクと影響を最小限に抑えます。CVE-2013-2119の問題は、Red Hat地域ITチームのMichael Scherer氏により発見されました。以下のパッケージは、更新済みRuby 1.8 passengerパッケージの依存関係としてこの更新に含まれています:rubygem-spruz-0.2.5-4.el6op rubygem-file-tail-1.0.5-4.el6op Red Hat OpenShift Enterprise 1.2.2のユーザーはこれらの問題を修正する更新済みパッケージにアップグレードすることが推奨されます。更新済みパッケージのインストール後、更新を有効にする前に手動の操作が必要です。詳細については、「ソリューション」セクションを参照してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2013:1136

https://access.redhat.com/security/cve/cve-2013-2119

https://access.redhat.com/security/cve/cve-2013-4136

プラグインの詳細

深刻度: Medium

ID: 119341

ファイル名: redhat-RHSA-2013-1136.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2018/12/4

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.4

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:mod_passenger, p-cpe:/a:redhat:enterprise_linux:ruby193-mod_passenger, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-devel, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-native, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-native-libs, p-cpe:/a:redhat:enterprise_linux:rubygem-file-tail, p-cpe:/a:redhat:enterprise_linux:rubygem-file-tail-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger-debuginfo, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger-devel, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger-native, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger-native-libs, p-cpe:/a:redhat:enterprise_linux:rubygem-spruz, p-cpe:/a:redhat:enterprise_linux:rubygem-spruz-doc, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/8/5

脆弱性公開日: 2013/9/30

参照情報

CVE: CVE-2013-2119, CVE-2013-4136

RHSA: 2013:1136