openSUSEセキュリティ更新プログラム:ruby-bundled-gems-rpmhelper/ruby2.5(openSUSE-2019-1771)
critical Nessus プラグイン ID 126904
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このruby2.5およびruby-bundled-gems-rpmhelper用更新プログラムでは、以下の問題を修正します。ruby2.5での変更:
2.5.5および2.5.4への更新:
https://www.ruby-lang.org/en/news/2019/03/15/ruby-2-5-5-released/https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-5-4-released/
キャッシュサイドチャネル攻撃の軽減:
- CVE-2019-8320:tarの展開時にシンボリックリンクを使用して、ディレクトリを削除します(bsc#1130627)
- CVE-2019-8321:詳細におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130623)
- CVE-2019-8322:gem所有者におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130622)
- CVE-2019-8323:APIレスポンス処理におけるエスケープシーケンスインジェクションの脆弱性(bsc#1130620)
- CVE-2019-8324:悪意のあるgemをインストールすると、任意のコードが実行される可能性があります(bsc#1130617)
- CVE-2019-8325:エラーにおけるエスケープシーケンスインジェクションの脆弱性(bsc#1130611)
Ruby 2.5は2.5.3に更新されました:
このリリースには、いくつかのバグ修正およびセキュリティ修正が含まれています。
キャッシュサイドチャネル攻撃の軽減:
- CVE-2018-16396:汚染されたフラグは、Array#packおよびString#unpack内で一部のディレクティブを使用して伝達されません(bsc#1112532)
- CVE-2018-16395:OpenSSL::X509:: Nameの等価性チェックが適切に動作しない(bsc#1112530)
Ruby 2.5は2.5.1に更新されました:
このリリースには、いくつかのバグ修正およびセキュリティ修正が含まれています。
キャッシュサイドチャネル攻撃の軽減:
- CVE-2017-17742:WEBrickでのHTTP応答分割(bsc#1087434)
- CVE-2018-6914:tempfileおよびtmpdirのディレクトリトラバーサルによる意図しないファイルとディレクトリの作成(bsc#1087441)
- CVE-2018-8777:WEBrickの大きなリクエストによるDoS(bsc#1087436)
- CVE-2018-8778:String#unpackでのバッファアンダーリード(bsc#1087433)
- CVE-2018-8779:UNIXServerおよびUNIXSocketの侵害されたNULバイトによる意図しないソケットの作成(bsc#1087440)
- CVE-2018-8780:Dirの侵害されたNULバイトによる意図しないディレクトリトラバーサル(bsc#1087437)
- RubyGemsの複数の脆弱性が修正されました:
- CVE-2018-1000079:ファイルシステムの任意の場所に書き込む可能性があるgemのインストール中のパストラバーサルの問題を修正しました(bsc#1082058)
- CVE-2018-1000075:tarヘッダーの負のサイズによる無限ループの脆弱性がサービス拒否を引き起こす問題を修正しました(bsc#1082014)
- CVE-2018-1000078:gemサーバー経由で表示された場合のホームページ属性のXSSの脆弱性を修正しました(bsc#1082011)
- CVE-2018-1000077:ホームページ仕様属性にURL認証がないため、悪意のあるgemが無効なホームページURLを設定する可能性がある問題を修正しました(bsc#1082010)
- CVE-2018-1000076:tarballの署名の不適切な検証により、不正に署名されたgemがインストールされる問題を修正しました(bsc#1082009)
- CVE-2018-1000074:特別に細工されたYAMLで任意のコードが実行される可能性がある、gem所有者の安全でないオブジェクト逆シリアル化の脆弱性を修正しました(bsc#1082008)
- CVE-2018-1000073:root外でシンボリックリンク化されたbasedirに書き込むときのパストラバーサルを修正しました(bsc#1082007)
その他の変更:
- 修正済みネット:: POPMailメソッドが、デフォルトの引数の使用時にフリーズリテラルを変更します
- ruby:2019年5月1日に日本の暦が新しい天皇の時代へ変更(bsc#1133790)
- PIEサポートで構築されます(bsc#1130028)
ruby-bundled-gems-rpmhelperでの変更:
- バンドルされたruby gemに対する新しいヘルパーを追加します。
この更新はSUSEからインポートされました:SLE-15:更新プロジェクトを更新します。
ソリューション
影響を受けるruby-bundled-gems-rpmhelper/ruby2.5パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1082007
https://bugzilla.opensuse.org/show_bug.cgi?id=1082008
https://bugzilla.opensuse.org/show_bug.cgi?id=1082009
https://bugzilla.opensuse.org/show_bug.cgi?id=1082010
https://bugzilla.opensuse.org/show_bug.cgi?id=1082011
https://bugzilla.opensuse.org/show_bug.cgi?id=1082014
https://bugzilla.opensuse.org/show_bug.cgi?id=1082058
https://bugzilla.opensuse.org/show_bug.cgi?id=1087433
https://bugzilla.opensuse.org/show_bug.cgi?id=1087434
https://bugzilla.opensuse.org/show_bug.cgi?id=1087436
https://bugzilla.opensuse.org/show_bug.cgi?id=1087437
https://bugzilla.opensuse.org/show_bug.cgi?id=1087440
https://bugzilla.opensuse.org/show_bug.cgi?id=1087441
https://bugzilla.opensuse.org/show_bug.cgi?id=1112530
https://bugzilla.opensuse.org/show_bug.cgi?id=1112532
https://bugzilla.opensuse.org/show_bug.cgi?id=1130028
https://bugzilla.opensuse.org/show_bug.cgi?id=1130611
https://bugzilla.opensuse.org/show_bug.cgi?id=1130617
https://bugzilla.opensuse.org/show_bug.cgi?id=1130620
https://bugzilla.opensuse.org/show_bug.cgi?id=1130622
https://bugzilla.opensuse.org/show_bug.cgi?id=1130623
https://bugzilla.opensuse.org/show_bug.cgi?id=1130627
https://bugzilla.opensuse.org/show_bug.cgi?id=1133790
https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-5-4-released/
https://www.ruby-lang.org/en/news/2019/03/15/ruby-2-5-5-released/
プラグインの詳細
深刻度: Critical
ID: 126904
ファイル名: openSUSE-2019-1771.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/7/22
更新日: 2022/5/23
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 8.8
現状値: 6.5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:C/A:C
CVSS スコアのソース: CVE-2019-8320
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:libruby2_5-2_5, p-cpe:/a:novell:opensuse:libruby2_5-2_5-debuginfo, p-cpe:/a:novell:opensuse:ruby-bundled-gems-rpmhelper, p-cpe:/a:novell:opensuse:ruby2.5, p-cpe:/a:novell:opensuse:ruby2.5-debuginfo, p-cpe:/a:novell:opensuse:ruby2.5-debugsource, p-cpe:/a:novell:opensuse:ruby2.5-devel, p-cpe:/a:novell:opensuse:ruby2.5-devel-extra, p-cpe:/a:novell:opensuse:ruby2.5-doc-ri, p-cpe:/a:novell:opensuse:ruby2.5-stdlib, p-cpe:/a:novell:opensuse:ruby2.5-stdlib-debuginfo, cpe:/o:novell:opensuse:15.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/7/21
脆弱性公開日: 2018/3/13
参照情報
CVE: CVE-2017-17742, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079, CVE-2018-16395, CVE-2018-16396, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780, CVE-2019-8320, CVE-2019-8321, CVE-2019-8322, CVE-2019-8323, CVE-2019-8324, CVE-2019-8325