検出

RHEL 6:rubygem packages(RHSA-2013:0728)

medium Nessus プラグイン ID 119438

Language:

概要

リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。

説明

この更新により、Red Hat OpenShift Enterprise 1.1.3用の複数のrubygemパッケージにおける1つのセキュリティ問題が修正されます。Red Hatセキュリティレスポンスチームは、この更新がセキュリティに与える影響を重要度中であると評価しています。詳細な重要度評価を示すCommon Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションのCVEリンクで確認できます。Rubyは、拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理する機能とシステム管理タスクを実行する機能を備えています。RDocによって作成されたドキュメントはクロスサイトスクリプティング(XSS)攻撃に対して脆弱であることがわかりました。このようなドキュメントがネットワーク経由でアクセス可能で、リモートの攻撃者がユーザーを誘導して特別に細工したURLにアクセスさせることができた場合、ユーザーのセッションのコンテキストで任意のWebスクリプトが実行される可能性があります。RDocは、Rubyソースファイル(クラス、モジュールなど)のドキュメント作成に使用されるため、このようなドキュメントをネットワーク経由でアクセスできるようにすることは一般的なシナリオではありません。(CVE-2013-0256)この更新では、修正されたバージョンのRdocでドキュメントが再生成されたいくつかの更新済みのrubygemパッケージを提供します。Red Hatは、この問題を報告してくれたRDoc UpstreamのEric Hodel氏に感謝の意を表します。Upstreamでは、Evgeny Kotkov氏を最初の報告者として認めています。Red Hat OpenShift Enterprise 1.1.3のユーザーは、これらの更新済みパッケージにアップグレードし、この問題を解決することが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2013:0728

https://access.redhat.com/security/cve/cve-2013-0256

プラグインの詳細

深刻度: Medium

ID: 119438

ファイル名: redhat-RHSA-2013-0728.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2018/12/6

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.6

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activesupport, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-bcrypt-ruby, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-bcrypt-ruby-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-bson, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-chunky_png, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ci_reporter, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-compass, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-fastthread, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-fastthread-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-haml, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-http_connection, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rack, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rack-test, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rspec, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-treetop, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-xml-simple, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/4/9

脆弱性公開日: 2013/3/1

参照情報

CVE: CVE-2013-0256

BID: 57785

RHSA: 2013:0728