openSUSEセキュリティ更新プログラム:ruby2.1(openSUSE-2017-527)

critical Nessus プラグイン ID 99753

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このruby2.1のバージョン2.1.9への更新では、次の問題が修正されます:

修正されたセキュリティ問題:

- CVE-2016-2339:Fiddle::Function.new'initialize'内のヒープオーバーフロー脆弱性(bsc#1018808)

- CVE-2015-7551:FiddleとDLにおける安全でない汚染された文字列の使用(bsc#959495)

- CVE-2015-3900:gemをフェッチするか、APIリクエストを発行したときに、ホスト名検証が機能しません(bsc#936032)

- CVE-2015-1855:RubyのOpenSSL拡張が、ホスト名の過乗な権限一致を通してこの脆弱性の対象になります(bsc#926974)

- CVE-2014-4975:encodes()関数でのoff-by-oneスタックベースのバッファオーバーフロー(bsc#887877)

バグ修正:

- SUSEconnectがno_proxy環境変数内のドメインワイルドカードを適切に処理しません(bsc#1014863)

- pack&ioctl&unpack後のセグメンテーション違反(bsc#909695)

- Ruby:「net/http」でのHTTPヘッダー挿入(bsc#986630)

変更ログ:

-http://svn.ruby-lang.org/repos/ruby/tags/v2_1_9/ChangeLog

この更新はSUSEからインポートされました:SLE-12:更新プロジェクトを更新します。

ソリューション

影響を受けるruby2.1パッケージを更新してください。

参考資料

http://svn.ruby-lang.org/repos/ruby/tags/v2_1_9/ChangeLog

https://bugzilla.opensuse.org/show_bug.cgi?id=1014863

https://bugzilla.opensuse.org/show_bug.cgi?id=1018808

https://bugzilla.opensuse.org/show_bug.cgi?id=887877

https://bugzilla.opensuse.org/show_bug.cgi?id=909695

https://bugzilla.opensuse.org/show_bug.cgi?id=926974

https://bugzilla.opensuse.org/show_bug.cgi?id=936032

https://bugzilla.opensuse.org/show_bug.cgi?id=959495

https://bugzilla.opensuse.org/show_bug.cgi?id=986630

プラグインの詳細

深刻度: Critical

ID: 99753

ファイル名: openSUSE-2017-527.nasl

バージョン: 3.4

タイプ: local

エージェント: unix

公開日: 2017/5/1

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

Base Score: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libruby2_1-2_1, p-cpe:/a:novell:opensuse:libruby2_1-2_1-debuginfo, p-cpe:/a:novell:opensuse:ruby2.1, p-cpe:/a:novell:opensuse:ruby2.1-debuginfo, p-cpe:/a:novell:opensuse:ruby2.1-debugsource, p-cpe:/a:novell:opensuse:ruby2.1-devel, p-cpe:/a:novell:opensuse:ruby2.1-devel-extra, p-cpe:/a:novell:opensuse:ruby2.1-doc-ri, p-cpe:/a:novell:opensuse:ruby2.1-stdlib, p-cpe:/a:novell:opensuse:ruby2.1-stdlib-debuginfo, cpe:/o:novell:opensuse:42.1, cpe:/o:novell:opensuse:42.2

必要な KB アイテム: Host/cpu, Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2017/4/28

参照情報

CVE: CVE-2014-4975, CVE-2015-1855, CVE-2015-3900, CVE-2015-7551, CVE-2016-2339