RHEL 6:ruby193-ruby、rubygem-json、rubygem-rdoc(RHSA-2013:0701)
high Nessus プラグイン ID 119437
Language:
概要
リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。説明
2つのセキュリティの問題を修正する更新済みのruby193-ruby、rubygem-json、rubygem-rdocパッケージが、 Red Hat OpenShift Enterprise 1.1.3で利用可能になりました。Red Hatセキュリティーレスポンスチームは、この更新がセキュリティに与える影響を重要度中であると評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System(CVSS)のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。Rubyは、拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理する機能とシステム管理タスクを実行する機能を備えています。rubygem-jsonとruby193-rubygem-jsonの欠陥により、異なるタイプの悪意のあるオブジェクトを作成することで、リモートの攻撃が可能です。このため、たとえば、JSONドキュメントを使用してガーベージコレクトされたことのない任意のRubyシンボルを作成することで、リソース消費によるサービス拒否攻撃を仕掛けられる可能性があります。また、SQLインジェクション攻撃を可能にする内部オブジェクトを作成するために悪用される可能性もあります。(CVE-2013-0269)rubygem-rdocおよびruby193-rubygem-rdocによって作成されたドキュメントはクロスサイトスクリプティング(XSS)攻撃に対して脆弱であることがわかりました。このようなドキュメントがネットワーク経由でアクセス可能で、リモートの攻撃者がユーザーを誘導して特別に細工したURLにアクセスさせることができた場合、ユーザーのセッションのコンテキストで任意のWebスクリプトが実行される可能性があります。rubygem-rdocとruby193-rubygem-rdocは、Rubyソースファイル(クラス、モジュールなど)のドキュメント作成に使用されるため、このようなドキュメントをネットワーク経由でアクセスできるようにすることは一般的なシナリオではありません。(CVE-2013-0256)Red Hatは、CVE-2013-0269を報告してくれたRuby on RailsのUpstreamと、CVE-2013-0256を報告してくれたRDoc UpstreamのEric Hodel氏に感謝の意を表します。Upstreamでは、ZweitagのThomas Hollstegge氏とBen Murphy氏をCVE-2013-0269の最初の報告者、Evgeny Ermakov氏をCVE-2013-0256の最初の報告者として認めています。Red Hat OpenShift Enterprise 1.1.3のユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/errata/RHSA-2013:0701
プラグインの詳細
深刻度: High
ID: 119437
ファイル名: redhat-RHSA-2013-0701.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
公開日: 2018/12/6
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:ruby193-ruby, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-devel, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-tcltk, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-bigdecimal, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-io-console, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-json, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-irb, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-libs, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-minitest, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rake, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rdoc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygems, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygems-devel, p-cpe:/a:redhat:enterprise_linux:rubygem-json, p-cpe:/a:redhat:enterprise_linux:rubygem-json-debuginfo, p-cpe:/a:redhat:enterprise_linux:rubygem-json-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-rdoc, p-cpe:/a:redhat:enterprise_linux:rubygem-rdoc-doc, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/4/2
脆弱性公開日: 2013/2/13
参照情報
CVE: CVE-2013-0256, CVE-2013-0269
RHSA: 2013:0701