actionmailer Ruby ライブラリ 3.x < 6.1.7.9 / 7.0.x < 7.0.8.5 / 7.1.x < 7.1.4.1 / 7.2.x < 7.2.1.1 DoS (CVE-2024-47889)
high Nessus プラグイン ID 209307
Language:
概要
リモートホストにインストールされている Ruby ライブラリは、サービス拒否の脆弱性による影響を受けます。説明
リモートホストにインストールされている actionmailer Ruby ライブラリのバージョンは、6.1.7.9 より前の 3.x、7.0.8.5 より前の 7.0.x、7.1.4.1 より前の 7.1.x、または 7.2.1.1 より前の 7.2.x です。したがって、サービス拒否 (DoS) の脆弱性の影響を受けます。この脆弱性は、Action Mailer の block_format ヘルパーに存在します。注意深く細工されたテキストにより、block_format ヘルパーに想定外の時間を要し、DoS 脆弱性を引き起こす可能性があります。影響を受けるリリースを実行している全ユーザーは、バージョン 6.1.7.9、7.0.8.5、7.1.4.1、7.2.1.1 にアップグレードするか、関連するパッチを直ちに適用する必要があります。回避策として、ユーザーは「block_format」ヘルパーの呼び出しを回避するか、Ruby 3.2 にアップグレードできます。Ruby 3.2 にはこの問題に対する緩和策があるため、Ruby 3.2 以降を使用する Rails アプリケーションは影響を受けません。Rails 8.0.0.beta1 は Ruby 3.2 またはそれ以降を必要とするため、影響を受けません。Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
actionmailer バージョン 6.1.7.9、7.0.8.5、7.1.4.1、7.2.1.1 以降にアップグレードしてください。参考資料
https://github.com/rails/rails/security/advisories/GHSA-h47h-mwp9-c6q6
プラグインの詳細
深刻度: High
ID: 209307
ファイル名: actionmailer_ruby_gem_CVE-2024-47889.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2024/10/18
更新日: 2024/10/21
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2024-47889
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:ruby:actionmailer
必要な KB アイテム: Host/nix/packages, Host/ruby/modules/enumerated
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/10/16
脆弱性公開日: 2024/10/16
参照情報
CVE: CVE-2024-47889
IAVB: 2024-B-0157