Debian DLA-3149-1: ruby-nokogiri - LTS セキュリティ更新

critical Nessus プラグイン ID 166069

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3149 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Nokogiri v1.10.3 以前のコマンドインジェクションの脆弱性のため、Ruby の `Kernel.open` メソッドによりサブプロセスでコマンドが実行される可能性があります。文書化されていないメソッド `Nokogiri: : CSS: : Tokenizer#load_file` が安全でないユーザー入力をファイル名として呼び出されています。この脆弱性は、Rexical gemバージョン v1.0.6 以前によって生成されるコードに表示されます。Rexicalは、CSSクエリを解析するために字句スキャナーコードを生成するためにNokogiriによって使用されます。内在する脆弱性は Rexical v1.0.7 で対処されており、Nokogiri は Nokogiri v1.10.4 で Rexical のこのバージョンにアップグレードされています。
(CVE-2019-5477)

- Nokogiri は、HTML、XML、SAX、および Reader パーサーに XPath と CSS のセレクターサポートを提供する Rubygem です。バージョン 1.11.0.rc4 より前の Nokogiri には、XXE の脆弱性があります。Nokogiri：: XML：: デフォルトでスキーマが信頼されており、ネットワーク経由で外部リソースにアクセスできるため、XXE 攻撃または SSRF 攻撃が実行される可能性があります。この動作は、Nokogiri のメンテナーが従うセキュリティポリシーに反します。このため、可能な場合は常に、すべての入力がデフォルトで信頼できないものとして扱われます。これは Nokogiri バージョン 1.11.0.rc4 で修正されています。(CVE-2020-26247)

- Nokogiri は Ruby 用のオープンソースの XML および HTML ライブラリです。Nokogiri「<v1.13.4」には非効率的な正規表現が含まれており、HTML ドキュメントのエンコーディング検出を試行する際に過剰なバックトラックの影響を受けやすくなります。ユーザーに Nokogiri 「>= 1.13.4」にアップグレードすることを推奨します。この問題についての既知の回避策はありません。(CVE-2022-24836)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。