リモートの Solaris システムに、次のセキュリティの更新に対処するのに必要なパッチがありません：

- 1.9.0 から 2.0.0p247 までの Ruby で使用されている、 1.8.23.1 より前の RubyGems、1.8.24 から 1.8.25 までの RubyGems、 2.0.8 より前の RubyGems 2.0.x、および 2.1.0 より前の RubyGems 2.1.x において、 lib/rubygems/version.rb の Gem::Version::VERSION_PATTERN にあるアルゴリズムの複雑さの脆弱性により、リモートの攻撃者が、正規表現で大量なバックトラッキングを発生させるように細工された gem バージョンでサービス拒否（CPU 消費）を引き起こす可能性があります。
 (CVE-2013-4287)

- Ruby 1.9.0 から 2.0.0p247 で使用されている、1.8.23.2 より前、1.8.24 から 1.8.26、2.0.10 より前の 2.0.x および 2.1.5 より前の 2.1.x の RubyGems の lib/rubygems/version.rb の Gem::Version::ANCHORED_VERSION_PATTERN のアルゴリズム複雑性の脆弱性により、リモートの攻撃者が、細工された gem バージョンでサービス拒否（CPU 消費）を引き起こし、正規表現の大量のバックトラックを発生させる可能性があります。注：この問題は、CVE-2013-4287 の修正が不完全であるため存在しています。(CVE-2013-4363)

Gem のアルゴリズム複雑性の脆弱性: : バージョン: :1.9.0 から 2.0.0p247 までの Ruby で使用されている、1.8.23.2 より前、1.8.24 から 1.8.26まで、2.0.10 より前の 2.0.x、および 2.1.5以前の 2.1.xの RubyGems において、lib/rubygems/version.rb の ANCHORED_VERSION_PATTERN により、リモート攻撃者が、正規表現で大量なバックトラッキングを発生させるように細工された gem バージョンでサービス拒否 (CPU 消費) を引き起こす可能性があります。注: この問題は CVE-2013-4287の修正が不完全なため生じています。

Ruby Gem 開発者レポート：

CVE-2013-4363 のパッチは検証が不十分だったため、gem バージョン検証用の結合した正規表現が、次の CVE-2013-4363 に対して脆弱なままです。

RubyGems により、正規表現を使用するバージョンが検証されますが、これはバックトラックによりサービス拒否に脆弱です。特別に細工された RubyGems バージョンでは、攻撃者が CPU 消費を介してサービス拒否を起こすことがあります。

自己報告されたバージョン番号によると、リモートホストの Puppet Enterprise 3.x インストールは、3.1.1 より前です。その結果、報告されているところによると、複数の脆弱性の影響を受けます：

- 含まれる Ruby のバージョンに関連して、文字列から浮動小数点への変換処理の際、入力検証エラーが存在するため、DoS 攻撃（サービス拒否攻撃）、あるいは任意のコードの実行を引き起こす可能性があります。（CVE-2013-4164）

- 含まれる RubyGems のバージョンと「gem build」、「Gem::Package」、「Gem::PackageTask」API 呼び出しに関してエラーが存在するため、DoS 攻撃（サービス拒否攻撃）を引き起こす可能性があります。（CVE-2013-4363）

- Ruby の「i18n」gem にエラーが存在し、クロスサイトスクリプティング攻撃が発生する可能性があります。（CVE-2013-4491）

- テンポラリーファイルの処理に関連するエラーが存在するため、ローカルの攻撃者はシンボリックリンク攻撃を利用してファイルの上書きを行う可能性があります。（CVE-2013-4969）

- 含まれる Ruby on Rails、「Action View」、特定のヘッダーの処理に関してエラーが存在するため、DoS 攻撃（サービス拒否攻撃）が引き起こされる可能性があります。（CVE-2013-6414）

- 含まれる Ruby on Rails および「number_to_currency」内の「unit」パラメーターの処理に関連する入力検証エラーが存在し、クロスサイトスクリプティング攻撃を可能にします。（CVE-2013-6415）

- 含まれる Ruby on Rails および JSON パラメーター解析、SQL クエリに関連する入力検証エラーが存在し、SQL インジェクション攻撃を可能にします。
 （CVE-2013-6417）

ruby19 は、以下のセキュリティの問題を修正するために更新されています：

- CVE-2013-2065 を修正：DL と Fiddle のオブジェクト汚染バイパス（bnc#843686）ファイル CVE-2013-2065.patch はパッチを含んでいます。

- CVE-2013-4287 CVE-2013-4363 を修正：ruby19：アルゴリズムの複雑性の脆弱性（bnc#837457）ファイル CVE-2013-4287-4363.patch はパッチを含んでいます。

リモートの Solaris システムに、次のセキュリティの更新に対処するのに必要なパッチがありません：

- Ruby 1.8、1.9.3-p484 より前の Ruby 1.9、 2.0.0-p353 より前の Ruby 2.0、および 2.1.0 preview2 より前の Ruby 2.1、そしてリビジョン 43780 より前の trunk における、ヒープベースのバッファオーバーフローにより、コンテキスト依存の攻撃者が、サービス拒否（セグメンテーション違反）を引き起こしたり、浮動小数点値に変換される文字列で任意のコードを実行したりする可能性があります。このことは、（1）to_f メソッドまたは（2）JSON.parse を使用することにより実証されています。(CVE-2013-4164)

- 1.9.0 から 2.0.0p247 までの Ruby で使用されている、 1.8.23.1 より前の RubyGems、1.8.24 から 1.8.25 までの RubyGems、 2.0.8 より前の RubyGems 2.0.x、および 2.1.0 より前の RubyGems 2.1.x において、 lib/rubygems/version.rb の Gem::Version::VERSION_PATTERN にあるアルゴリズムの複雑さの脆弱性により、リモートの攻撃者が、正規表現で大量なバックトラッキングを発生させるように細工された gem バージョンでサービス拒否（CPU 消費）を引き起こす可能性があります。
 (CVE-2013-4287)

- Ruby 1.9.0 から 2.0.0p247 で使用されている、1.8.23.2 より前、1.8.24 から 1.8.26、2.0.10 より前の 2.0.x および 2.1.5 より前の 2.1.x の RubyGems の lib/rubygems/version.rb の Gem::Version::ANCHORED_VERSION_PATTERN のアルゴリズム複雑性の脆弱性により、リモートの攻撃者が、細工された gem バージョンでサービス拒否（CPU 消費）を引き起こし、正規表現の大量のバックトラックを発生させる可能性があります。注：この問題は、CVE-2013-4287 の修正が不完全であるため存在しています。(CVE-2013-4363)

ID	名前	製品	ファミリー	公開日	更新日	深刻度
80760	Oracle Solaris サードパーティのパッチの更新：rubygems（multiple_cryptographic_issues_vulnerabilities_in1）	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	medium
70567	Amazon Linux AMI：rubygems (ALAS-2013-231)	Nessus	Amazon Linux Local Security Checks	2013/10/24	2018/4/18	medium
71071	FreeBSD：ruby-gems -- アルゴリズム複雑性の脆弱性（742eb9e4-e3cb-4f5a-b94e-0e9a39420600）	Nessus	FreeBSD Local Security Checks	2013/11/25	2021/1/6	medium
73132	Puppet Enterprise 3.x < 3.1.1 の複数の脆弱性	Nessus	CGI abuses	2014/3/21	2021/1/19	medium
75178	openSUSE セキュリティ更新：ruby19（openSUSE-SU-2013:1611-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium
72746	Amazon Linux AMI：ruby19 (ALAS-2014-290)	Nessus	Amazon Linux Local Security Checks	2014/3/2	2018/4/18	medium
80756	Oracle Solaris サードパーティのパッチの更新：ruby（multiple_cryptographic_issues_vulnerabilities_in）	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	medium
80757	Oracle Solaris サードパーティのパッチの更新：ruby（multiple_vulnerabilities_in_ruby1）	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	medium

検出

プラグインの検索

medium

medium

medium

medium

medium

medium

medium

medium