RHEL 6 / 7 : rh-ruby24-ruby (RHSA-2018:3730)
critical Nessus プラグイン ID 194017
Language:
概要
リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 6 / 7 ホストに、RHSA-2018:3730 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- ruby: WEBrick での HTTP 応答分割 (CVE-2017-17742)
- ruby: tempfile および tmpdir のディレクトリトラバーサルによる意図しないファイルとディレクトリの作成 (CVE-2018-6914)
- ruby: WEBrick の大きなリクエストによる DoS (CVE-2018-8777)
- ruby: String#unpack でのバッファアンダーリード (CVE-2018-8778)
- ruby: UNIXServer および UNIXSocket の侵害された NULL バイトによる意図しないソケットの作成 (CVE-2018-8779)
- ruby: Dir の侵害された NULL バイトによる意図しないディレクトリトラバーサル (CVE-2018-8780)
- ruby: OpenSSL::X509::Name の等価性チェックが適切に動作しない (CVE-2018-16395)
- ruby: 汚染されたフラグは、Array#pack および String#unpack 内で一部のディレクティブを使用して伝達されません (CVE-2018-16396)
- rubygems: root 外でシンボリックリンク化された basedir に書き込むときのパストラバーサル (CVE-2018-1000073)
- rubygems: gem所有者の安全でないオブジェクト逆シリアル化の脆弱性により、特別に細工された YAML で任意のコードが実行される可能性があります (CVE-2018-1000074)
- rubygems: tar ヘッダーの負のサイズによる無限ループの脆弱性がサービス拒否を引き起こします (CVE-2018-1000075)
- rubygems: tarball の署名の不適切な検証により、不正に署名された gem がインストールされる可能性があります (CVE-2018-1000076)
- rubygems: ホームページ仕様属性に URL 認証がないため、悪質な gem が無効なホームページ URL を設定する可能性があります (CVE-2018-1000077)
- rubygems: gem サーバー経由で表示された場合のホームページ属性の XSS の脆弱性 (CVE-2018-1000078)
- rubygems: gem のインストール中のパストラバーサルの問題により、ファイルシステムの任意の場所に書き込む可能性があります (CVE-2018-1000079)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=1547418
https://bugzilla.redhat.com/show_bug.cgi?id=1547419
https://bugzilla.redhat.com/show_bug.cgi?id=1547420
https://bugzilla.redhat.com/show_bug.cgi?id=1547421
https://bugzilla.redhat.com/show_bug.cgi?id=1547422
https://bugzilla.redhat.com/show_bug.cgi?id=1547425
https://bugzilla.redhat.com/show_bug.cgi?id=1547426
https://bugzilla.redhat.com/show_bug.cgi?id=1561947
https://bugzilla.redhat.com/show_bug.cgi?id=1561948
https://bugzilla.redhat.com/show_bug.cgi?id=1561949
https://bugzilla.redhat.com/show_bug.cgi?id=1561950
https://bugzilla.redhat.com/show_bug.cgi?id=1561952
https://bugzilla.redhat.com/show_bug.cgi?id=1561953
https://bugzilla.redhat.com/show_bug.cgi?id=1643086
https://bugzilla.redhat.com/show_bug.cgi?id=1643089
https://bugzilla.redhat.com/show_bug.cgi?id=1650590
プラグインの詳細
深刻度: Critical
ID: 194017
ファイル名: redhat-RHSA-2018-3730.nasl
バージョン: 1.0
タイプ: local
エージェント: unix
公開日: 2024/4/27
更新日: 2024/4/27
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2018-8780
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2018-16395
脆弱性情報
CPE: cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-ruby, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-ruby-devel, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-ruby-doc, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-ruby-irb, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-ruby-libs, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-bigdecimal, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-did_you_mean, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-io-console, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-json, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-minitest, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-net-telnet, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-openssl, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-power_assert, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-psych, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-rake, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-rdoc, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-test-unit, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygem-xmlrpc, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygems, p-cpe:/a:redhat:enterprise_linux:rh-ruby24-rubygems-devel
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/11/29
脆弱性公開日: 2018/2/26
参照情報
CVE: CVE-2017-17742, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079, CVE-2018-16395, CVE-2018-16396, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780