SuSE 10 セキュリティ更新:ruby(ZYPP パッチ番号 6338)
high Nessus プラグイン ID 51760
Language:
概要
リモート SuSE 10 ホストにセキュリティ関連のパッチがありません。説明
この ruby の更新は、openssl 関数 OCSP_basic_verify()(CVE-2009-0642)の戻り値チェックを改善し、攻撃者が失効した証明書を使用します。DNS 識別子のエントロピーが増大して(CVE-2008-3905)、なりすまし攻撃を防ぎます。XML データ解析のコードが、サービス拒否のバグに対して脆弱でした(CVE-2008-3790)。関数WEBrick: : HTTP: : DefaultFileHandler()で、HTTPリクエスト(CVE-2008-3656)の解析中、ならびにCPUの高負荷を引き起こすregexエンジン(CVE-2008-3443)の使用中は、アルゴリズムの複雑性に対する攻撃が可能でした。Ruby のアクセス制限コード(CVE-2008-3655)ならびに関数 DL.dlopen()(CVE-2008-3657)を使用する安全レベルの処理、大きな十進数の処理(CVE-2009-1904)が向上しました。HTTP 基本認証(authenticate_with_http_digest)のバイパスは、もうできません。
ソリューション
ZYPP パッチ番号 6338 を適用してください。参考資料
http://support.novell.com/security/cve/CVE-2008-3443.html
http://support.novell.com/security/cve/CVE-2008-3655.html
http://support.novell.com/security/cve/CVE-2008-3656.html
http://support.novell.com/security/cve/CVE-2008-3657.html
http://support.novell.com/security/cve/CVE-2008-3790.html
http://support.novell.com/security/cve/CVE-2008-3905.html
プラグインの詳細
深刻度: High
ID: 51760
ファイル名: suse_ruby-6338.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2011/1/27
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
脆弱性情報
CPE: cpe:/o:suse:suse_linux
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2009/7/3
参照情報
CVE: CVE-2008-3443, CVE-2008-3655, CVE-2008-3656, CVE-2008-3657, CVE-2008-3790, CVE-2008-3905, CVE-2009-0642, CVE-2009-1904