Amazon Linux 2 : ruby (ALAS-2019-1276)

critical Nessus 插件 ID 128290
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

在处理 HTTP 请求过程中,发现 WEBrick 可能被强制使用过量内存,导致拒绝服务。攻击者可以利用此缺陷向 WEBrick 应用程序发送大量请求,导致服务器内存不足。(CVE-2018-8777) 发现 tmpdir 和 tempfile 模块未对其文件名参数进行审查。对文件名有控制权的攻击者可以在专用目录之外创建临时文件和目录。(CVE-2018-6914) 发现 WEBrick 未对发回给客户端的标头进行审查,导致响应拆分漏洞。对服务器的标头有控制权限的攻击者可以强制 WEBrick 向客户端注入更多标头。(CVE-2017-17742) RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主线修订版 62422 之前,在 package.rb 的 install_location 函数中含有一个目录遍历漏洞,当写入 root 外部符号链接的 basedir 时,此漏洞可导致路径遍历。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000073) RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主线修订版 62422 之前,在 package.rb 中含有一个不当验证加密签名漏洞,可导致安装签名错误的 gem,因为 tarball 将包含多个 gem 签名。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000076) 发现 Dir 类中的方法未正确处理包含空字节的字符串。能够在路径中注入空字节的攻击者可能触发 ruby 脚本的不明行为。(CVE-2018-8780) RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主线修订版 62422 之前,在 ruby gem 程序包 tar 标头中包含一个负大小漏洞造成的无限循环,可导致能够造成无限循环的负大小。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000075) RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主线修订版 62422 之前,在 gem 服务器首页属性显示中,含有一个跨站脚本 (XSS) 漏洞,可导致 XSS。此攻击似乎可以通过受害者必须浏览易受攻击的 gem 服务器上的恶意 gem 加以利用。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000078) 在 Ruby 2.3.8 之前版本、2.4.5 之前的 2.4.x、2.5.2 之前的 2.5.x,以及 2.6.0-preview3 之前的 2.6.x 中发现问题。它不会污染因使用某些格式解压缩受污染字符串而产生的字符串。(CVE-2018-16396) 在 String#unpack 解码拆包格式的方式中发现整数下溢。能够控制拆包格式的攻击者可以利用此缺陷泄露应用程序内存的任意部分。(CVE-2018-8778) 发现 UNIXSocket::open 和 UNIXServer::open ruby 方法未正确处理空字节。能够在套接字路径中注入空字节的攻击者可能触发 ruby 脚本的不明行为。(CVE-2018-8779) RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主线修订版 62422 之前,在所有者命令中含有一个未受信任数据反序列化漏洞,可导致代码执行。此攻击似乎可以通过受害者必须使用特制 YAML 文件在 gem 上执行 `gem owner` 命令加以利用。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000074) RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主线修订版 62422 之前,在 ruby gem 规范首页属性中,含有一个错误输入验证漏洞,可导致恶意 gem 可能设置无效的首页 URL。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000077) RubyGems 版本 Ruby 2.2 系列:2.2.9 和更旧版本,Ruby 2.3 系列:2.3.6 和更旧版本,Ruby 2.4 系列:2.4.3 和更旧版本,Ruby 2.5 系列:2.5.0 和更旧版本,在主线修订版 62422 之前,在 gem 安装中含有一个目录遍历漏洞,可导致 gem 在安装期间写入任意文件系统位置。此攻击似乎可以通过受害者必须安装恶意 gem 加以利用。此漏洞似乎已在 2.7.6 中修复。(CVE-2018-1000079)

解决方案

运行 'yum update ruby' 以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALAS-2019-1276.html

插件详情

严重性: Critical

ID: 128290

文件名: al2_ALAS-2019-1276.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2019/8/28

最近更新时间: 2019/12/31

依存关系: ssh_get_info.nasl

风险信息

CVSS 分数来源: CVE-2018-8780

VPR

风险因素: Medium

分数: 6

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:ruby, p-cpe:/a:amazon:linux:ruby-debuginfo, p-cpe:/a:amazon:linux:ruby-devel, p-cpe:/a:amazon:linux:ruby-doc, p-cpe:/a:amazon:linux:ruby-irb, p-cpe:/a:amazon:linux:ruby-libs, p-cpe:/a:amazon:linux:ruby-tcltk, p-cpe:/a:amazon:linux:rubygem-bigdecimal, p-cpe:/a:amazon:linux:rubygem-io-console, p-cpe:/a:amazon:linux:rubygem-json, p-cpe:/a:amazon:linux:rubygem-minitest, p-cpe:/a:amazon:linux:rubygem-psych, p-cpe:/a:amazon:linux:rubygem-rake, p-cpe:/a:amazon:linux:rubygem-rdoc, p-cpe:/a:amazon:linux:rubygems, p-cpe:/a:amazon:linux:rubygems-devel, cpe:/o:amazon:linux:2

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2019/8/27

漏洞发布日期: 2018/3/13

参考资料信息

CVE: CVE-2017-17742, CVE-2018-1000073, CVE-2018-1000074, CVE-2018-1000075, CVE-2018-1000076, CVE-2018-1000077, CVE-2018-1000078, CVE-2018-1000079, CVE-2018-16396, CVE-2018-6914, CVE-2018-8777, CVE-2018-8778, CVE-2018-8779, CVE-2018-8780

ALAS: 2019-1276