リモートホストは、GLSA-201412-28 で説明されている脆弱性の影響を受けます（Ruby on Rails：複数の脆弱性）

Ruby on Rails で複数の脆弱性が発見されました。詳細については、以下で参照されている CVE 識別子をレビューしてください。
 影響：

リモートの攻撃者が、任意のコードを実行すること、またはサービス拒否を起こすことがあります。さらに、リモートの攻撃者が任意の SQL コマンドを実行したり、フォーム入力のパラメーター名を変更してシステム内の任意のレコードを変更したり、意図されたアクセス制限をバイパスしたり、任意の表示をレンダリングしたり、任意の Web スクリプトまたは HTML を注入したり、クロスサイトリクエスト偽造（CSRF）攻撃を実行したりする可能性があります。
 回避策：

現時点で、既知の回避策はありません。

いくつかのセキュリティのバグを修正している Rails 3.0.10 に更新してください。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

いくつかの脆弱性が、Ruby Web アプリケーションフレームワークの Rails で発見されています。Common Vulnerabilities and Exposuresプロジェクトは次の問題を特定しています：

  - CVE-2009-4214 strip_tags 関数で、クロスサイトスクリプティング（XSS）の脆弱性が見つかりました。攻撃者が、特定のブラウザが次に評価を行う、印刷不可の文字を注入する可能性があります。この脆弱性は、旧安定版（oldstable）ディストリビューション（lenny）にのみ影響を与えます。

  - CVE-2011-2930 quote_table_name メソッドで、SQL インジェクションの脆弱性が見つかりました。これにより、悪意のあるユーザーが任意の SQL をクエリに注入する可能性があります。

  - CVE-2011-2931 strip_tags ヘルパーで、クロスサイトスクリプティング（XSS）の脆弱性が見つかりました。解析エラーは、パーサーを混乱させることができ、出力ドキュメントに HTML タグを注入する可能性のある攻撃者によって悪用されることがあります。

  - CVE-2011-3186 改行（CRLF）インジェクションの脆弱性が response.rb で発見されました。この脆弱性により、攻撃者が任意の HTTP ヘッダーを注入し、Content-Type ヘッダーにより HTTP 応答分割攻撃を行うことができます。

Rails のこの更新により、以下のセキュリティ問題が修正されます。

CVE-2011-2930 - 特別に細工された列名による quote_table_name 関数での SQL インジェクション（bnc#712062） CVE-2011-2931 - strip_tags ヘルパーでのクロスサイトスクリプティング（XSS）（bnc#712057） CVE-2011-3186 - 応答分割（bnc#712058） CVE-2010-3933 - 特別に細工されたフォームパラメータを介したレコードの任意の変更（bnc#712058） CVE-2011-0446 - mail_to ヘルパーでのクロスサイトスクリプティング（XSS）（bnc#668817） CVE-2011-0447 -「X-Requested-With」ヘッダーの不適切な検証（bnc#668817） CVE-2011-0448 - limit 機能に対して不適切にサニタイズされた引数により引き起こされる SQL インジェクション（bnc#668817） CVE-2011-0449 - 特別に細工されたアクション名を介したアクセス制限のバイパス（bnc#668817）

ID	名前	製品	ファミリー	公開日	更新日	深刻度
79981	GLSA-201412-28：Ruby on Rails：複数の脆弱性	Nessus	Gentoo Local Security Checks	2014/12/15	2021/1/6	critical
56097	Fedora 16：rubygem-actionmailer-3.0.10-1.fc16 / rubygem-actionpack-3.0.10-1.fc16 / etc（2011-11386）	Nessus	Fedora Local Security Checks	2011/9/7	2021/1/11	high
56074	Debian DSA-2301-2：rails - いくつかの脆弱性	Nessus	Debian Local Security Checks	2011/9/6	2021/1/11	high
75730	openSUSE セキュリティ更新：rubygem-actionmailer （openSUSE-SU-2011:1305-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/14	high
76016	openSUSE セキュリティ更新：rubygem-actionmailer （openSUSE-SU-2011:1305-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high

検出

プラグインの検索

critical

high

high

high

high