Amazon Linux 2 : ruby (ALAS-2018-983)

critical Nessus 插件 ID 109136

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

写入 root RubyGems 版本 Ruby 2.2 系列外部符号链接的 basedir 时,发现路径遍历:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主干修订版 62422 之前,在 package.rb 的 install_location 函数中含有一个目录遍历漏洞,当写入 root 外部符号链接的 basedir 时,此漏洞可导致路径遍历。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000073) tarball 中的不当签名验证允许安装签名错误的 gem:RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主干修订版 62422 之前,在 package.rb 中含有一个不当验证加密签名漏洞,可导致安装签名错误的 gem,因为 tarball 将包含多个 gem 签名。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000076) 因为 tar 标头中的负大小而导致的无限循环漏洞可造成拒绝服务。RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主干修订版 62422 之前,在 ruby gem 程序包 tar 标头中包含一个负大小漏洞造成的无限循环,可导致能够造成无限循环的负大小。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000075) lib/resolv.rb:lazy_initialize() 中的命令注入可导致任意代码执行:lib/resolv.rb 中的 'lazy_initialize' 函数未正确处理某些文件名称。远程攻击者可能利用此缺陷注入并执行任意命令。(CVE-2017-17790) 规格首页属性缺少 URL 验证可让恶意 gem 设置无效的首页 URL:RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主干修订版 62422 之前,在 ruby gems 规格首页属性中含有一个不当输入验证漏洞,可导致恶意 gem 设置无效的首页 URL。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000077) 通过 gem 服务器显示时,首页属性中发现 XSS 漏洞。RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主干修订版 62422 之前,在 gem 服务器首页属性显示中,含有一个跨站脚本 (XSS) 漏洞,可导致 XSS。若要恶意利用此攻击,必须由受害者浏览至容易受到影响的 gem 服务器上的恶意 gem。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000078) gem 所有者中发现不安全的对象反序列化漏洞,进而允许在特制的 YAML 上执行任意代码。RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主干修订版 62422 之前,在所有者命令中含有一个未受信任数据反序列化漏洞,可导致代码执行。若要恶意利用此攻击,必须通过特制的 YAML 文件,由受害者在 gem 上执行 `gem owner` 命令。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000074) gem 安装期间发生的路径遍历问题允许写入任意文件系统位置。RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主干修订版 62422 之前,在 gem 安装中含有一个目录遍历漏洞,可导致 gem 在安装期间写入任意文件系统位置。若要恶意利用此攻击,必须由受害者安装恶意的 gem。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000079)

解决方案

运行 'yum update ruby' 以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALAS-2018-983.html

插件详情

严重性: Critical

ID: 109136

文件名: al2_ALAS-2018-983.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2018/4/18

最近更新时间: 2019/7/10

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:amazon:linux:ruby, p-cpe:/a:amazon:linux:ruby-debuginfo, p-cpe:/a:amazon:linux:ruby-devel, p-cpe:/a:amazon:linux:ruby-doc, p-cpe:/a:amazon:linux:ruby-irb, p-cpe:/a:amazon:linux:ruby-libs, p-cpe:/a:amazon:linux:ruby-tcltk, p-cpe:/a:amazon:linux:rubygem-bigdecimal, p-cpe:/a:amazon:linux:rubygem-io-console, p-cpe:/a:amazon:linux:rubygem-json, p-cpe:/a:amazon:linux:rubygem-minitest, p-cpe:/a:amazon:linux:rubygem-psych, p-cpe:/a:amazon:linux:rubygem-rake, p-cpe:/a:amazon:linux:rubygem-rdoc, p-cpe:/a:amazon:linux:rubygems, p-cpe:/a:amazon:linux:rubygems-devel, cpe:/o:amazon:linux:2

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2018/4/5

漏洞发布日期: 2017/12/20

参考资料信息

CVE: CVE-2017-17790, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079

ALAS: 2018-983