Ruby是一种可扩展的、解释性的、面向对象的脚本语言。它具有处理文本文件和执行系统管理任务的功能。8月5日,RedHat发布了安全更新,修复了红帽Ruby脚本语言中发现的任意代码执行等重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://acceSS.Redhat.coM/eRRata/RHSA-2022:0708
1.CVE-2020-36327 CVSS评分:8.8 严重程度:高
在安装受源限制的geM包的依赖项时,BundleR 确定源存储库的方式存在漏洞。在使用多个geM存储库并明确定义要从哪个源存储库安装某些 geM 的配置中,如果该存储库提供了更高版本的包,则可以从不同的源安装受源限制的geM的依赖项。这可能导致安装恶意geM版本和执行任意代码。
2.CVE-2021-41817 CVSS评分:7.5 严重程度:中
在 Ruby 中发现了一个漏洞,发现日期对象在解析日期期间容易受到正则表达式拒绝服务 (ReDoS) 的攻击。此漏洞允许攻击者通过提供特制的日期字符串来挂起 Ruby 应用程序。此漏洞的最大威胁是系统可用性。
3.CVE-2021-41819 CVSS评分:7.5 严重程度:中
Ruby 到 2.6.8 中的 CGI::Cookie.paRse 错误处理 cookie 名称中的安全前缀。这也通过 Ruby 的 0.3.0 影响了 CGI geM。
4.CVE-2021-32066 CVSS评分:7.4 严重程度:中
Ruby 的 Net::IMAP 模块在收到对 STARTtls 命令的意外响应并且连接未升级为使用 tls 时没有引发异常。中间人攻击者可以利用此漏洞阻止 Ruby 应用程序使用 Net::IMAP 为与 IMAP 服务器的连接启用 tls 加密,然后窃听或修改通过纯文本连接发送的数据。
5.CVE-2021-31799 CVSS评分:7.0 严重程度:中
在 RDoc 中发现了一个操作系统命令注入漏洞。使用 Rdoc 命令为恶意 Ruby 源代码生成文档可能会导致以运行 Rdoc 的用户的权限执行任意命令。
受影响产品和版本
Red Hat SoftwaRe Collections (foR RHEL SeRveR) 1 foR RHEL 7 x86_64 Red Hat SoftwaRe Collections (foR RHEL SeRveR foR system Z) 1 foR RHEL 7 s390x Red Hat SoftwaRe Collections (foR RHEL SeRveR foR IBM PoweR LE) 1 foR RHEL 7 pPC64le Red Hat SoftwaRe Collections (foR RHEL WoRkstation) 1 foR RHEL 7 x86_64
解决方案
Rh-Ruby26-Ruby 的更新现在可用于 Red Hat SoftwaRe Collections。
有关如何应用此更新的详细信息(包括此通报中描述的更改),请参阅:
https://acceSS.Redhat.coM/articles/11258
查看更多漏洞信息 以及升级请访问官网:
https://acceSS.Redhat.coM/security/security-updates/#/security-advisoRies
