検出

Amazon Linux AMI:ruby19(ALAS-2020-1426)

high Nessus プラグイン ID 140094

Language:

概要

リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされているテスト済み製品のバージョンは、テスト済みバージョンより前です。したがって、ALAS-2020-1426のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 Ruby用のJSON gemの1.5.5より前、1.6.8より前の1.6.x、および1.7.7より前の1.7.xでは、リモート攻撃者が、任意のRuby記号または特定の内部オブジェクトの作成を発生させる細工されたJSONドキュメントを介して、サービス拒否(リソース消費)を引き起こしたり、大量の割り当て保護機構をバイパスしたりする可能性があります。このことは、RailsのRubyに対するSQLインジェクション攻撃の実行によって示されており、別名「Unsafe Object Creation Vulnerability(安全ではないオブジェクト作成の脆弱性)」と呼ばれます。(CVE-2013-0269)

 - Rubyの2.4~2.4.9、2.5~2.5.7、および2.6~2.6.5で使用されているように、Ruby用の2.2.0以前のJSON gemには、安全ではないオブジェクト作成の脆弱性があります。これは、CVE-2013-0269と非常によく似ていますが、Ruby内の貧弱なガベージコレクション動作に依存しません。特に、JSON解析メソッドを使用すると、インタープリター内に悪意のあるオブジェクトが作成され、アプリケーションによって異なる悪影響が及ぶ可能性があります。(CVE-2020-10663)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

「yum update ruby19」を実行してシステムを更新してください。
 「yum update ruby21」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/ALAS-2020-1426.html

https://access.redhat.com/security/cve/CVE-2020-10663

プラグインの詳細

深刻度: High

ID: 140094

ファイル名: ala_ALAS-2020-1426.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/8/31

更新日: 2022/5/12

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2013-0269

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2020-10663

脆弱性情報

CPE: p-cpe:/a:amazon:linux:ruby21, p-cpe:/a:amazon:linux:ruby21-debuginfo, p-cpe:/a:amazon:linux:ruby21-devel, p-cpe:/a:amazon:linux:ruby21-doc, p-cpe:/a:amazon:linux:ruby21-irb, p-cpe:/a:amazon:linux:ruby21-libs, p-cpe:/a:amazon:linux:rubygem19-bigdecimal, p-cpe:/a:amazon:linux:rubygem19-io-console, p-cpe:/a:amazon:linux:rubygem19-json, p-cpe:/a:amazon:linux:rubygem19-minitest, p-cpe:/a:amazon:linux:rubygem19-rake, p-cpe:/a:amazon:linux:rubygem19-rdoc, p-cpe:/a:amazon:linux:rubygem21-bigdecimal, p-cpe:/a:amazon:linux:rubygem21-io-console, p-cpe:/a:amazon:linux:rubygem21-psych, p-cpe:/a:amazon:linux:rubygems19, p-cpe:/a:amazon:linux:rubygems19-devel, p-cpe:/a:amazon:linux:rubygems21, p-cpe:/a:amazon:linux:rubygems21-devel, cpe:/o:amazon:linux, p-cpe:/a:amazon:linux:ruby19, p-cpe:/a:amazon:linux:ruby19-debuginfo, p-cpe:/a:amazon:linux:ruby19-devel, p-cpe:/a:amazon:linux:ruby19-doc, p-cpe:/a:amazon:linux:ruby19-irb, p-cpe:/a:amazon:linux:ruby19-libs

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/8/26

脆弱性公開日: 2013/2/13

参照情報

CVE: CVE-2013-0269, CVE-2020-10663

BID: 57899

ALAS: 2020-1426