SUSE SLED15 / SLES15セキュリティ更新プログラム:ruby-bundled-gems-rpmhelper、ruby2.5(SUSE-SU-2019:1804-1)

critical Nessus プラグイン ID 126617

言語:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このruby2.5およびruby-bundled-gems-rpmhelper用更新プログラムでは、以下の問題を修正します。

ruby2.5での変更:

2.5.5および2.5.4への更新:

https://www.ruby-lang.org/en/news/2019/03/15/ruby-2-5-5-released/https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-5-4-released/

キャッシュサイドチャネル攻撃の軽減:

CVE-2019-8320:tarの展開時にシンボリックリンクを使用して、ディレクトリを削除します(bsc#1130627)

CVE-2019-8321:詳細におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130623)

CVE-2019-8322:gem所有者におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130622)

CVE-2019-8323:APIレスポンス処理におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130620)

CVE-2019-8324:悪意のあるgemをインストールすると、任意のコードが実行される可能性があります(bsc#1130617)

CVE-2019-8325:エラーにおけるエスケープシーケンスインジェクションの脆弱性(bsc#1130611)

Ruby 2.5は2.5.3に更新されました:

このリリースには、いくつかのバグ修正およびセキュリティ修正が含まれています。

セキュリティの問題を修正:CVE-2018-16396:汚染されたフラグは、Array#packおよびString#unpack内で一部のディレクティブを使用して伝達されません(bsc#1112532)

CVE-2018-16395:OpenSSL::X509:: Nameの等価性チェックが適切に動作しない(bsc#1112530)

Ruby 2.5は2.5.1に更新されました:

このリリースには、いくつかのバグ修正およびセキュリティ修正が含まれています。

セキュリティの問題を修正:CVE-2017-17742:WEBrickでのHTTP応答分割(bsc#1087434)

CVE-2018-6914:tempfileおよびtmpdirのディレクトリトラバーサルによる意図しないファイルとディレクトリの作成(bsc#1087441)

CVE-2018-8777:WEBrickの大きなリクエストによるDoS(bsc#1087436)

CVE-2018-8778:String#unpackでのバッファアンダーリード(bsc#1087433)

CVE-2018-8779:UNIXServerおよびUNIXSocketの侵害されたNULバイトによる意図しないソケットの作成(bsc#1087440)

CVE-2018-8780:Dirの侵害されたNULバイトによる意図しないディレクトリトラバーサル(bsc#1087437)

RubyGemsの複数の脆弱性が修正されました:

- CVE-2018-1000079:ファイルシステムの任意の場所に書き込む可能性があるgemのインストール中のパストラバーサルの問題を修正しました(bsc#1082058)

- CVE-2018-1000075:tarヘッダーの負のサイズによる無限ループの脆弱性がサービス拒否を引き起こす問題を修正しました(bsc#1082014)

- CVE-2018-1000078:gemサーバー経由で表示された場合のホームページ属性のXSSの脆弱性を修正しました(bsc#1082011)

- CVE-2018-1000077:ホームページ仕様属性にURL認証がないため、悪意のあるgemが無効なホームページURLを設定する可能性がある問題を修正しました(bsc#1082010)

- CVE-2018-1000076:tarballの署名の不適切な検証により、不正に署名されたgemがインストールされる問題を修正しました(bsc#1082009)

- CVE-2018-1000074:特別に細工されたYAMLで任意のコードが実行される可能性がある、gem所有者の安全でないオブジェクト逆シリアル化の脆弱性を修正しました(bsc#1082008)

- CVE-2018-1000073:root外でシンボリックリンク化されたbasedirに書き込むときのパストラバーサルを修正しました(bsc#1082007)

その他の変更:修正済みネット:: POPMailメソッドが、デフォルトの引数の使用時にフリーズリテラルを変更します

ruby:2019年5月1日に日本の暦が新しい天皇の時代へ変更(bsc#1133790)

- PIEサポートで構築されます(bsc#1130028)

ruby-bundled-gems-rpmhelperでの変更:バンドルされたruby gemに対する新しいヘルパーを追加します。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Module for Open Buildservice Development Tools 15-SP1:zypper in -t patch SUSE-SLE-Module-Development-Tools-OBS-15-SP1-2019-1804=1

SUSE Linux Enterprise Module for Open Buildservice Development Tools 15:zypper in -t patch SUSE-SLE-Module-Development-Tools-OBS-15-2019-1804=1

SUSE Linux Enterprise Module for Basesystem 15-SP1:zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP1-2019-1804=1

SUSE Linux Enterprise Module for Basesystem 15:zypper in -t patch SUSE-SLE-Module-Basesystem-15-2019-1804=1

関連情報

https://bugzilla.suse.com/show_bug.cgi?id=1082007

https://bugzilla.suse.com/show_bug.cgi?id=1082008

https://bugzilla.suse.com/show_bug.cgi?id=1082009

https://bugzilla.suse.com/show_bug.cgi?id=1082010

https://bugzilla.suse.com/show_bug.cgi?id=1082011

https://bugzilla.suse.com/show_bug.cgi?id=1082014

https://bugzilla.suse.com/show_bug.cgi?id=1082058

https://bugzilla.suse.com/show_bug.cgi?id=1087433

https://bugzilla.suse.com/show_bug.cgi?id=1087434

https://bugzilla.suse.com/show_bug.cgi?id=1087436

https://bugzilla.suse.com/show_bug.cgi?id=1087437

https://bugzilla.suse.com/show_bug.cgi?id=1087440

https://bugzilla.suse.com/show_bug.cgi?id=1087441

https://bugzilla.suse.com/show_bug.cgi?id=1112530

https://bugzilla.suse.com/show_bug.cgi?id=1112532

https://bugzilla.suse.com/show_bug.cgi?id=1130028

https://bugzilla.suse.com/show_bug.cgi?id=1130611

https://bugzilla.suse.com/show_bug.cgi?id=1130617

https://bugzilla.suse.com/show_bug.cgi?id=1130620

https://bugzilla.suse.com/show_bug.cgi?id=1130622

https://bugzilla.suse.com/show_bug.cgi?id=1130623

https://bugzilla.suse.com/show_bug.cgi?id=1130627

https://bugzilla.suse.com/show_bug.cgi?id=1133790

https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-5-4-released/

https://www.ruby-lang.org/en/news/2019/03/15/ruby-2-5-5-released/

https://www.suse.com/security/cve/CVE-2017-17742/

https://www.suse.com/security/cve/CVE-2018-1000073/

https://www.suse.com/security/cve/CVE-2018-1000074/

https://www.suse.com/security/cve/CVE-2018-1000075/

https://www.suse.com/security/cve/CVE-2018-1000076/

https://www.suse.com/security/cve/CVE-2018-1000077/

https://www.suse.com/security/cve/CVE-2018-1000078/

https://www.suse.com/security/cve/CVE-2018-1000079/

https://www.suse.com/security/cve/CVE-2018-16395/

https://www.suse.com/security/cve/CVE-2018-16396/

https://www.suse.com/security/cve/CVE-2018-6914/

https://www.suse.com/security/cve/CVE-2018-8777/

https://www.suse.com/security/cve/CVE-2018-8778/

https://www.suse.com/security/cve/CVE-2018-8779/

https://www.suse.com/security/cve/CVE-2018-8780/

https://www.suse.com/security/cve/CVE-2019-8320/

https://www.suse.com/security/cve/CVE-2019-8321/

https://www.suse.com/security/cve/CVE-2019-8322/

https://www.suse.com/security/cve/CVE-2019-8323/

https://www.suse.com/security/cve/CVE-2019-8324/

https://www.suse.com/security/cve/CVE-2019-8325/

http://www.nessus.org/u?f388fbfb

プラグインの詳細

深刻度: Critical

ID: 126617

ファイル名: suse_SU-2019-1804-1.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2019/7/11

更新日: 2022/5/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 6

CVSS v2

リスクファクター: High

Base Score: 8.8

Temporal Score: 6.5

ベクトル: AV:N/AC:M/Au:N/C:N/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2019-8320

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2018-16395

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:libruby2_5, p-cpe:/a:novell:suse_linux:libruby2_5-2_5-debuginfo, p-cpe:/a:novell:suse_linux:ruby2.5, p-cpe:/a:novell:suse_linux:ruby2.5-debuginfo, p-cpe:/a:novell:suse_linux:ruby2.5-debugsource, p-cpe:/a:novell:suse_linux:ruby2.5-devel, p-cpe:/a:novell:suse_linux:ruby2.5-devel-extra, p-cpe:/a:novell:suse_linux:ruby2.5-doc, p-cpe:/a:novell:suse_linux:ruby2.5-stdlib, p-cpe:/a:novell:suse_linux:ruby2.5-stdlib-debuginfo, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/7/10

脆弱性公開日: 2018/3/13

参照情報

CVE: CVE-2017-17742, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2018-16395, CVE-2018-16396, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079, CVE-2019-8320, CVE-2019-8321, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324, CVE-2019-8325