MiracleLinux 7rh-ruby25-ruby-2.5.3-6.el7AXSA:2019-3613:01
critical Nessus プラグイン ID 289679
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 7ホストには、AXSA:2019-3613:01アドバイザリに記載されているとおり、複数の脆弱性の影響を受けるパッケージがインストールされています。* rubyOpenSSL::Name の等価性チェックが正しく動作しませんX509CVE-2018-16395
* rubyWEBrick における HTTP 応答分割CVE-2017-17742
* rubyWEBrick の大きなリクエストによる DoSCVE-2018-8777
* rubyString#unpack のバッファアンダーリードCVE-2018-8778
* rubyDir の侵害された NULL バイトによる意図しないディレクトリトラバーサルCVE-2018-8780]
* ruby汚染されたフラグは、一部のディレクティブにより Array#pack および String#unpack で伝達されませんCVE-2018-16396
* rubygemsroot 外でシンボリックリンク化された basedir に書き込む際のパストラバーサルCVE-2018-1000073]
* rubygems特別に細工された YAML で任意のコードの実行を可能にする gem 所有者の安全でないオブジェクト逆シリアル化の脆弱性CVE-2018-1000074
* rubygemstarball の署名が不適切に検証されているため、不正に署名された gem がインストールされる可能性がありますCVE-2018-1000076
* rubygems仕様ホーム属性に URL 検証がないため、悪意のある gem が無効なホームページ URL を設定する可能性がありますCVE-2018-1000077
* rubygemsgem サーバー経由で表示された場合のホームページ属性の XSS 脆弱性CVE-2018-1000078]
* rubygemsgem のインストール中のパストラバーサルの問題により、ファイルシステムの任意の場所に書き込むことができますCVE-2018-1000079
* rubytempfile と tmpdir のディレクトリトラバーサルによる意図しないファイルとディレクトリの作成CVE-2018-6914]
* rubyUNIXServer および UNIXSocket の侵害された NULL バイトによる意図しないソケットの作成CVE-2018-8779]
* rubygemstar ヘッダーの負のサイズによる無限ループの脆弱性により、サービス拒否が発生しますCVE-2018-1000075
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 289679
ファイル名: miracle_linux_AXSA-2019-3613.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2018-8780
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2018-16395
脆弱性情報
CPE: p-cpe:/a:miracle:linux:rh-ruby25-rubygem-xmlrpc, p-cpe:/a:miracle:linux:rh-ruby25-rubygems-devel, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-net-telnet, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-power_assert, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-test-unit, p-cpe:/a:miracle:linux:rh-ruby25-ruby, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-bigdecimal, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-openssl, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-io-console, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-json, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-rdoc, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-rake, p-cpe:/a:miracle:linux:rh-ruby25-ruby-doc, p-cpe:/a:miracle:linux:rh-ruby25-ruby-libs, p-cpe:/a:miracle:linux:rh-ruby25-ruby-devel, p-cpe:/a:miracle:linux:rh-ruby25-ruby-irb, p-cpe:/a:miracle:linux:rh-ruby25-rubygems, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-minitest, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-psych, p-cpe:/a:miracle:linux:rh-ruby25-rubygem-did_you_mean
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/2/15
脆弱性公開日: 2018/2/23
参照情報
CVE: CVE-2017-17742, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079, CVE-2018-16395, CVE-2018-16396, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780