openSUSE セキュリティ更新:RubyOnRails(openSUSE-SU-2013:0338-1)
critical Nessus プラグイン ID 74900
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
Ruby on Rails 2.3 のスタックが 2.3.17 に更新されました。Ruby on Rails 3.2 のスタックが 3.2.12 に更新されました。Ruby Rack が 1.1.6 に更新されました。Ruby Rack が 1.2.8 に更新されました。Ruby Rack が 1.3.10 に更新されました。Ruby Rack が 1.4.5 に更新されました。
この更新では、様々なセキュリティ問題とバグが修正されます。
- バージョン 2.3.17 に更新します(bnc#803336、bnc#803339)CVE-2013-0276 CVE-2013-0277:
- バージョン 3.2.12 に更新します(bnc#803336)CVE-2013-0276:
- バージョン 3.2.12 への更新(bnc#803336)CVE-2013-0276:
無効な形式の入力による保護回避の可能性がある attr_protected の問題
- バージョン 2.3.17 に更新します(bnc#803336、bnc#803339)CVE-2013-0276 CVE-2013-0277:
- 無効な形式の入力が保護を回避する可能性がある attr_protected の問題を修正します
- シリアル化された属性の YAML の脆弱性を修正します
- バージョン 2.3.17 に更新します(bnc#803336、bnc#803339)CVE-2013-0276 CVE-2013-0277:
- 無効な形式の入力が保護を回避する可能性がある attr_protected の問題を修正します
- シリアル化された属性の YAML の脆弱性を修正します
- バージョン 3.2.12 に更新します(bnc#803336)CVE-2013-0276:
- 引用数値が非数値の列と比較されます。または、一部のデータベースでは、文字列の列の値が数値に対して強制され、0、0.0 または false が非数値で始まる文字列と一致する可能性があります。
- 1.1.6 への更新(bnc#802794)
- CVE-2013-0263 の修正、Rack::Session::Cookie に対するタイミング攻撃
- 1.2.8 への更新(bnc#802794)
- CVE-2013-0263 の修正、Rack::Session::Cookie に対するタイミング攻撃
- 1.3.10 への更新(bnc#802794)
- CVE-2013-0263 の修正、Rack::Session::Cookie に対するタイミング攻撃
- ruby rack の 1.4.5 への更新(bnc#802794 bnc#802795)
- CVE-2013-0263 の修正、Rack::Session::Cookie に対するタイミング攻撃
- CVE-2013-0262(Rack::File のシンボリックリンクパストラバーサル)を修正します
- ruby rack の 1.4.4 への更新(bnc#798452)
- [SEC] Rack::Auth::AbstractRequest は、もう任意の文字列を符号化しません(CVE-2013-0184)
- 1.4.3 からの ruby rack の変更
- セキュリティ:大きなマルチパート境界の無限読み取りを防ぎます(CVE-2013-0183)
- 1.4.2 からの ruby rack の変更(CVE-2012-6109)
- ユーザーがセッション秘密鍵を提供しなかったときの警告を追加します
- 引用符で囲まれていないファイル名に対する解析のパフォーマンスを修正します
- URI バックポートを更新しました
- URI バックポートバージョンマッチング、およびサイレンスコンスタント警告を修正します
- 空の値でのパラメーター解析を修正します
- 複数の使用を可能にするため、rackup「-I」フラグを修正します
- rackup pidfile 処理を修正します
- rackup 行番号を正しくレポートします
- 時間制限がある古くない nonce によって引き起こされるリクエストループを修正します
- Windows のリロードを修正します
- Response#to_ary からの無限再帰を防ぎます
- 様々なミドルウェアが body close 仕様に対する適合を改善しました
- body close 仕様に対する言語を更新しました
- ECMA エスケープの互換問題に関する注記を追加しました
- 範囲ヘッダーの複数範囲の解析を修正します
- 空のパラメーター鍵からのエラーを防ぎます
- PATCH 動詞を Rack::Request に追加しました
- 様々なドキュメントの更新
- セッションマージセマンティックを修正します(rack-test の修正)
- Rack::Static :index が複数のディレクトリを処理できるようになりました
- すべてのテストが Rack::Lint を利用するようになりました(Lars Gierth 氏に特段の感謝の意を表します)
- Rack::File cache_control パラメーターが廃止され、1.5 で削除されます
- Rack::Directory スクリプト名のエスケープを修正します
- Rack::Static が洗練された構成のヘッダールールをサポートします
- Content-Length ヘッダーなしでマルチパート解析が機能するようになりました
- Zachary Scott 氏の好意による新しいロゴ!
- Rack::BodyProxy が明示的に #each を定義するようになりました。これは C 拡張で役に立ちます
- URI エスケープされていないクッキーは、もう例外を引き起こしません
ソリューション
影響を受ける RubyOnRails パッケージを更新してください。参考資料
https://bugzilla.novell.com/show_bug.cgi?id=798452
https://bugzilla.novell.com/show_bug.cgi?id=802794
https://bugzilla.novell.com/show_bug.cgi?id=802795
https://bugzilla.novell.com/show_bug.cgi?id=803336
https://bugzilla.novell.com/show_bug.cgi?id=803339
https://lists.opensuse.org/opensuse-updates/2013-02/msg00071.html
プラグインの詳細
深刻度: Critical
ID: 74900
ファイル名: openSUSE-2013-152.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/6/13
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:rubygem-actionmailer, p-cpe:/a:novell:opensuse:rubygem-actionmailer-2_3, p-cpe:/a:novell:opensuse:rubygem-actionmailer-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-actionmailer-3_2, p-cpe:/a:novell:opensuse:rubygem-actionpack, p-cpe:/a:novell:opensuse:rubygem-actionpack-2_3, p-cpe:/a:novell:opensuse:rubygem-actionpack-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-actionpack-3_2, p-cpe:/a:novell:opensuse:rubygem-activemodel-3_2, p-cpe:/a:novell:opensuse:rubygem-activerecord, p-cpe:/a:novell:opensuse:rubygem-activerecord-2_3, p-cpe:/a:novell:opensuse:rubygem-activerecord-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-activerecord-3_2, p-cpe:/a:novell:opensuse:rubygem-activeresource, p-cpe:/a:novell:opensuse:rubygem-activeresource-2_3, p-cpe:/a:novell:opensuse:rubygem-activeresource-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-activeresource-3_2, p-cpe:/a:novell:opensuse:rubygem-activesupport, p-cpe:/a:novell:opensuse:rubygem-activesupport-2_3, p-cpe:/a:novell:opensuse:rubygem-activesupport-3_2, p-cpe:/a:novell:opensuse:rubygem-rack-1_1, p-cpe:/a:novell:opensuse:rubygem-rack-1_1-testsuite, p-cpe:/a:novell:opensuse:rubygem-rack-1_2, p-cpe:/a:novell:opensuse:rubygem-rack-1_2-testsuite, p-cpe:/a:novell:opensuse:rubygem-rack-1_3, p-cpe:/a:novell:opensuse:rubygem-rack-1_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-rack-1_4, p-cpe:/a:novell:opensuse:rubygem-rack-1_4-testsuite, p-cpe:/a:novell:opensuse:rubygem-rails, p-cpe:/a:novell:opensuse:rubygem-rails-2_3, p-cpe:/a:novell:opensuse:rubygem-rails-3_2, p-cpe:/a:novell:opensuse:rubygem-railties-3_2, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2013/2/14
参照情報
CVE: CVE-2012-6109, CVE-2013-0183, CVE-2013-0184, CVE-2013-0262, CVE-2013-0263, CVE-2013-0276, CVE-2013-0277