検出

Oracle Linux 5:ruby(ELSA-2013-0129)

medium Nessus プラグイン ID 68700

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2013:0129 から:

2 つのセキュリティの問題と 1 つのバグを修正する更新済みの ruby パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Ruby は拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理したり、システム管理タスクを実行する機能があります。

特定の方法が、Ruby の下層のルーチンに渡す前に、ファイル名をサニタイズしていないことが判明しました。Ruby アプリケーションが信頼されない入力に基づく名前でファイルを作成すると、予期していた名前とは違う名前でファイルが作成される可能性があります。
(CVE-2012-4522)

RHSA-2011:0909 の更新が、CVE-2011-1005 の問題、つまり、例外メッセージを例外クラスの文字列に変換する方法にある欠陥を、適切に修正していないことが判明しました。リモートの攻撃者が、この欠陥を利用して、安全レベル 4 の制限をバイパスできます。これにより、信頼されていない(汚染した)コードが、任意の信頼されている(汚染していない)文字列を変更することが可能です。通常、このような動作は、安全レベル 4 の制限により防止されます。(CVE-2012-4481)

CVE-2012-4481 の問題が、Red Hat の Vit Ondruch 氏により発見されました。

この更新では以下のバグも修正されます。

* この更新が出る前は、特定の状況で、特定の gem とともにライブラリをインストールする場合に、「rb_syck_mktime」オプションが、セグメンテーション違反で終了することがありました。この更新により、下層のコードが変更され、 Ruby の gem を予期していた通りにインストールできるようになっています。
(BZ#834381)

ruby の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を解決することが推奨されます。

ソリューション

影響を受ける Ruby パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2013-January/003208.html

プラグインの詳細

深刻度: Medium

ID: 68700

ファイル名: oraclelinux_ELSA-2013-0129.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2013/7/12

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:oracle:linux:ruby, p-cpe:/a:oracle:linux:ruby-devel, p-cpe:/a:oracle:linux:ruby-docs, p-cpe:/a:oracle:linux:ruby-irb, p-cpe:/a:oracle:linux:ruby-libs, p-cpe:/a:oracle:linux:ruby-mode, p-cpe:/a:oracle:linux:ruby-rdoc, p-cpe:/a:oracle:linux:ruby-ri, p-cpe:/a:oracle:linux:ruby-tcltk, cpe:/o:oracle:linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/1/12

脆弱性公開日: 2012/11/24

参照情報

CVE: CVE-2012-4481, CVE-2012-4522

BID: 55813, 56115

RHSA: 2013:0129