SUSE SLED15 / SLES15セキュリティ更新プログラム:ruby-bundled-gems-rpmhelper、ruby2.5(SUSE-SU-2019:1804-1)
critical Nessus プラグイン ID 126617
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このruby2.5およびruby-bundled-gems-rpmhelper用更新プログラムでは、以下の問題を修正します。ruby2.5での変更:
2.5.5および2.5.4への更新:
https://www.ruby-lang.org/en/news/2019/03/15/ruby-2-5-5-released/https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-5-4-released/
キャッシュサイドチャネル攻撃の軽減:
CVE-2019-8320:tarの展開時にシンボリックリンクを使用して、ディレクトリを削除します(bsc#1130627)
CVE-2019-8321:詳細におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130623)
CVE-2019-8322:gem所有者におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130622)
CVE-2019-8323:APIレスポンス処理におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130620)
CVE-2019-8324:悪意のあるgemをインストールすると、任意のコードが実行される可能性があります(bsc#1130617)
CVE-2019-8325:エラーにおけるエスケープシーケンスインジェクションの脆弱性(bsc#1130611)
Ruby 2.5は2.5.3に更新されました:
このリリースには、いくつかのバグ修正およびセキュリティ修正が含まれています。
セキュリティの問題を修正:CVE-2018-16396:汚染されたフラグは、Array#packおよびString#unpack内で一部のディレクティブを使用して伝達されません(bsc#1112532)
CVE-2018-16395:OpenSSL::X509:: Nameの等価性チェックが適切に動作しない(bsc#1112530)
Ruby 2.5は2.5.1に更新されました:
このリリースには、いくつかのバグ修正およびセキュリティ修正が含まれています。
セキュリティの問題を修正:CVE-2017-17742:WEBrickでのHTTP応答分割(bsc#1087434)
CVE-2018-6914:tempfileおよびtmpdirのディレクトリトラバーサルによる意図しないファイルとディレクトリの作成(bsc#1087441)
CVE-2018-8777:WEBrickの大きなリクエストによるDoS(bsc#1087436)
CVE-2018-8778:String#unpackでのバッファアンダーリード(bsc#1087433)
CVE-2018-8779:UNIXServerおよびUNIXSocketの侵害されたNULバイトによる意図しないソケットの作成(bsc#1087440)
CVE-2018-8780:Dirの侵害されたNULバイトによる意図しないディレクトリトラバーサル(bsc#1087437)
RubyGemsの複数の脆弱性が修正されました:
- CVE-2018-1000079:ファイルシステムの任意の場所に書き込む可能性があるgemのインストール中のパストラバーサルの問題を修正しました(bsc#1082058)
- CVE-2018-1000075:tarヘッダーの負のサイズによる無限ループの脆弱性がサービス拒否を引き起こす問題を修正しました(bsc#1082014)
- CVE-2018-1000078:gemサーバー経由で表示された場合のホームページ属性のXSSの脆弱性を修正しました(bsc#1082011)
- CVE-2018-1000077:ホームページ仕様属性にURL認証がないため、悪意のあるgemが無効なホームページURLを設定する可能性がある問題を修正しました(bsc#1082010)
- CVE-2018-1000076:tarballの署名の不適切な検証により、不正に署名されたgemがインストールされる問題を修正しました(bsc#1082009)
- CVE-2018-1000074:特別に細工されたYAMLで任意のコードが実行される可能性がある、gem所有者の安全でないオブジェクト逆シリアル化の脆弱性を修正しました(bsc#1082008)
- CVE-2018-1000073:root外でシンボリックリンク化されたbasedirに書き込むときのパストラバーサルを修正しました(bsc#1082007)
その他の変更:修正済みネット:: POPMailメソッドが、デフォルトの引数の使用時にフリーズリテラルを変更します
ruby:2019年5月1日に日本の暦が新しい天皇の時代へ変更(bsc#1133790)
- PIEサポートで構築されます(bsc#1130028)
ruby-bundled-gems-rpmhelperでの変更:バンドルされたruby gemに対する新しいヘルパーを追加します。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Module for Open Buildservice Development Tools 15-SP1:zypper in -t patch SUSE-SLE-Module-Development-Tools-OBS-15-SP1-2019-1804=1
SUSE Linux Enterprise Module for Open Buildservice Development Tools 15:zypper in -t patch SUSE-SLE-Module-Development-Tools-OBS-15-2019-1804=1
SUSE Linux Enterprise Module for Basesystem 15-SP1:zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP1-2019-1804=1
SUSE Linux Enterprise Module for Basesystem 15:zypper in -t patch SUSE-SLE-Module-Basesystem-15-2019-1804=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1082007
https://bugzilla.suse.com/show_bug.cgi?id=1082008
https://bugzilla.suse.com/show_bug.cgi?id=1082009
https://bugzilla.suse.com/show_bug.cgi?id=1082010
https://bugzilla.suse.com/show_bug.cgi?id=1082011
https://bugzilla.suse.com/show_bug.cgi?id=1082014
https://bugzilla.suse.com/show_bug.cgi?id=1082058
https://bugzilla.suse.com/show_bug.cgi?id=1087433
https://bugzilla.suse.com/show_bug.cgi?id=1087434
https://bugzilla.suse.com/show_bug.cgi?id=1087436
https://bugzilla.suse.com/show_bug.cgi?id=1087437
https://bugzilla.suse.com/show_bug.cgi?id=1087440
https://bugzilla.suse.com/show_bug.cgi?id=1087441
https://bugzilla.suse.com/show_bug.cgi?id=1112530
https://bugzilla.suse.com/show_bug.cgi?id=1112532
https://bugzilla.suse.com/show_bug.cgi?id=1130028
https://bugzilla.suse.com/show_bug.cgi?id=1130611
https://bugzilla.suse.com/show_bug.cgi?id=1130617
https://bugzilla.suse.com/show_bug.cgi?id=1130620
https://bugzilla.suse.com/show_bug.cgi?id=1130622
https://bugzilla.suse.com/show_bug.cgi?id=1130623
https://bugzilla.suse.com/show_bug.cgi?id=1130627
https://bugzilla.suse.com/show_bug.cgi?id=1133790
https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-5-4-released/
https://www.ruby-lang.org/en/news/2019/03/15/ruby-2-5-5-released/
https://www.suse.com/security/cve/CVE-2017-17742/
https://www.suse.com/security/cve/CVE-2018-1000073/
https://www.suse.com/security/cve/CVE-2018-1000074/
https://www.suse.com/security/cve/CVE-2018-1000075/
https://www.suse.com/security/cve/CVE-2018-1000076/
https://www.suse.com/security/cve/CVE-2018-1000077/
https://www.suse.com/security/cve/CVE-2018-1000078/
https://www.suse.com/security/cve/CVE-2018-1000079/
https://www.suse.com/security/cve/CVE-2018-16395/
https://www.suse.com/security/cve/CVE-2018-16396/
https://www.suse.com/security/cve/CVE-2018-6914/
https://www.suse.com/security/cve/CVE-2018-8777/
https://www.suse.com/security/cve/CVE-2018-8778/
https://www.suse.com/security/cve/CVE-2018-8779/
https://www.suse.com/security/cve/CVE-2018-8780/
https://www.suse.com/security/cve/CVE-2019-8320/
https://www.suse.com/security/cve/CVE-2019-8321/
https://www.suse.com/security/cve/CVE-2019-8322/
https://www.suse.com/security/cve/CVE-2019-8323/
https://www.suse.com/security/cve/CVE-2019-8324/
プラグインの詳細
深刻度: Critical
ID: 126617
ファイル名: suse_SU-2019-1804-1.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/7/11
更新日: 2024/5/10
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 8.8
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:C/A:C
CVSS スコアのソース: CVE-2019-8320
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2018-16395
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libruby2_5, p-cpe:/a:novell:suse_linux:libruby2_5-2_5-debuginfo, p-cpe:/a:novell:suse_linux:ruby2.5, p-cpe:/a:novell:suse_linux:ruby2.5-debuginfo, p-cpe:/a:novell:suse_linux:ruby2.5-debugsource, p-cpe:/a:novell:suse_linux:ruby2.5-devel, p-cpe:/a:novell:suse_linux:ruby2.5-devel-extra, p-cpe:/a:novell:suse_linux:ruby2.5-doc, p-cpe:/a:novell:suse_linux:ruby2.5-stdlib, p-cpe:/a:novell:suse_linux:ruby2.5-stdlib-debuginfo, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2019/7/10
脆弱性公開日: 2018/3/13
参照情報
CVE: CVE-2017-17742, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079, CVE-2018-16395, CVE-2018-16396, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2019-8320, CVE-2019-8321, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324, CVE-2019-8325