Scientific Linux セキュリティ更新：SL6.x i386/x86_64 の ruby

medium Nessus プラグイン ID 61197

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Ruby は拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理したり、システム管理タスクを実行する機能があります。

子プロセスの fork の実行後に Ruby が PRNG（擬似乱数ジェネレーター）の再初期化しないことが見つかりました。この結果最終的に PRNG が同じ結果を 2 回返す場合があります。攻撃者がある子プロセスが返した値を追跡することで、この欠陥を利用して別の子プロセス内の PRNG が返す値を予測するおそれがあります（親プロセスが存続する範囲で）。（CVE-2011-3009）

Ruby の SecureRandom モジュールに欠陥が見つかりました。SecureRandom.random_bytes クラスを使用する場合、PRNG の状態は子プロセスに分岐した後も変更されません。この結果最終的に SecureRandom.random_bytes が同じ文字列を 2 回以上返すおそれがあります。攻撃者がある子プロセスが返した値を追跡することで、この欠陥を利用して別の子プロセス内の SecureRandom.random_bytes が返す値を予測するおそれがあります（親プロセスが存続する範囲で）。（CVE-2011-2705）

この更新は以下のバグも修正します：

- ruby パッケージは、upstream ポイントリリース 1.8.7-p352 にアップグレードされています。これにより、以前のバージョンに対する多数のバグ修正が提供されます。

- MD5 メッセージダイジェストアルゴリズムは、FIPS 認定アルゴリズムではありません。結果として、Ruby スクリプトが FIPS モードで MD5 チェックサムを計算しようとすると、インタープリターが予期せず終了しました。このバグは修正済みであり、上述のシナリオで例外が発生するようになりました。

- mkconfig.rb ソースファイルの行の継続を不適切に処理していたため、ruby パッケージの構築の試行が予期せずに終了していました。この問題に対処するために上流パッチが適用され、Ruby パッケージを適切に構築できるようになりました。

- 32 ビットの ruby-libs ライブラリが 64 ビットマシンにインストールされている場合、mkmf ライブラリは Ruby 関連のパッケージ構築に必要な、さまざまなモジュールのロードに失敗しました。
このバグは修正済みであり、mkmf が上述のシナリオで適切に動作するようになりました。

- 以前は、スクリプトやバイナリモジュールのロードパスは、i386 アーキテクチャで重複していました。
結果として、ActiveSupport　テストに合格しませんでした。この更新により、ロードパスが i386 アーキテクチャで重複して保存されることがなくなりました。

この更新により、次の拡張機能も追加されます：

- この更新により、SystemTap プローブが ruby パッケージに追加されました。

Ruby の全ユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を解決し、この機能強化を追加することが推奨されます。