RHEL 6:ruby(RHSA-2011: 1581)
high Nessus プラグイン ID 57017
Language:
概要
リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。説明
2 つのセキュリティ問題と、さまざまなバグを修正し、1 つの拡張機能を追加する更新済みの ruby パッケージが、Red Hat Enterprise Linux 6 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System(CVSS)のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。
Rubyは、拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理する機能とシステム管理タスクを実行する機能を備えています。
子プロセスの fork の実行後に Ruby が PRNG(擬似乱数ジェネレーター)の再初期化しないことが見つかりました。この結果最終的に PRNG が同じ結果を 2 回返す場合があります。攻撃者がある子プロセスが返した値を追跡することで、この欠陥を利用して別の子プロセス内のPRNGが返す値を予測するおそれがあります(親プロセスが存続する範囲で)。(CVE-2011-3009)
Ruby の SecureRandom モジュールに欠陥が見つかりました。SecureRandom.random_bytes クラスを使用する場合、PRNG の状態は子プロセスに分岐した後も変更されません。この結果最終的に SecureRandom.random_bytes が同じ文字列を 2 回以上返すおそれがあります。攻撃者がある子プロセスが返した値を追跡することで、この欠陥を利用して別の子プロセス内のSecureRandom.random_bytesが返す値を予測するおそれがあります(親プロセスが存続する範囲で)。(CVE-2011-2705)
この更新により、以下のバグも修正されます:
* rubyパッケージは、upstreamポイントリリース1.8.7-p352にアップグレードされています。これにより、以前のバージョンに対する多数のバグ修正が提供されます。(BZ#706332)
* MD5 メッセージダイジェストアルゴリズムは、FIPS 認定アルゴリズムではありません。
結果として、Ruby スクリプトが FIPS モードで MD5 チェックサムを計算しようとすると、インタープリターが予期せず終了しました。このバグは修正済みであり、上述のシナリオで例外が発生するようになりました。(BZ#717709)
* mkconfig.rb ソースファイルの行の継続を不適切に処理していたため、ruby パッケージの構築の試行が予期せずに終了していました。この問題に対処するために上流パッチが適用され、rubyパッケージを適切に構築できるようになりました。(BZ#730287)
* 32 ビットの ruby-libs ライブラリが 64 ビットマシンにインストールされている場合、mkmf ライブラリが Ruby 関連のパッケージ構築に必要な、さまざまなモジュールのロードに失敗していました。このバグは修正済みであり、mkmfが上述のシナリオで適切に動作するようになりました。(BZ#674787)
* 以前では、スクリプトやバイナリモジュールのロードパスは、i386 アーキテクチャで重複していました。結果として、ActiveSupport テストに合格しませんでした。この更新により、ロードパスがi386アーキテクチャで重複して保存されることがなくなりました。(BZ#722887)
この更新により、次の拡張機能も追加されます:
この更新により、SystemTapプローブがrubyパッケージに追加されました。(BZ#673162)
Ruby の全ユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を解決し、この機能強化を追加することが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?c53b8acf
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=673162
https://bugzilla.redhat.com/show_bug.cgi?id=674787
https://bugzilla.redhat.com/show_bug.cgi?id=706332
https://bugzilla.redhat.com/show_bug.cgi?id=717709
https://bugzilla.redhat.com/show_bug.cgi?id=722415
https://bugzilla.redhat.com/show_bug.cgi?id=722887
プラグインの詳細
深刻度: High
ID: 57017
ファイル名: redhat-RHSA-2011-1581.nasl
バージョン: 1.17
タイプ: local
エージェント: unix
公開日: 2011/12/6
更新日: 2024/4/27
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2011-3009
CVSS v3
リスクファクター: High
基本値: 7.4
現状値: 6.4
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:ruby, p-cpe:/a:redhat:enterprise_linux:ruby-devel, p-cpe:/a:redhat:enterprise_linux:ruby-docs, p-cpe:/a:redhat:enterprise_linux:ruby-irb, p-cpe:/a:redhat:enterprise_linux:ruby-libs, p-cpe:/a:redhat:enterprise_linux:ruby-rdoc, p-cpe:/a:redhat:enterprise_linux:ruby-ri, p-cpe:/a:redhat:enterprise_linux:ruby-static, p-cpe:/a:redhat:enterprise_linux:ruby-tcltk, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2011/12/6
脆弱性公開日: 2011/8/5
参照情報
CVE: CVE-2011-2705, CVE-2011-3009
RHSA: 2011:1581