Amazon Linux AMI:ruby24 (ALAS-2020-1422)

high Nessus 插件 ID 140096
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

The remote Amazon Linux AMI host is missing a security update.

描述

远程主机上安装的测试产品版本低于测试版本。因此,如公告 ALAS-2020-1422 所述,受到多个漏洞的影响。

- jQuery 1.9.0 之前的版本容易受到跨站脚本 (XSS) 攻击。jQuery(strInput) 函数无法可靠区分选择器和 HTML。在漏洞版本中,jQuery 通过查找字符串中任意位置是否存在“<”字符来确定是否输入为 HTML,这使得攻击者在试图构建恶意有效载荷时更具灵活性。在已修复的版本中,jQuery 只会将明确以“<”字符开头的输入视为 HTML,并将可利用漏洞的对象完全限制为能够控制字符串开头的攻击者,而这种情况不太常见。(CVE-2012-6708)

- 对于用于 Ruby 的 JSON gem,1.5.5 之前的版本 、1.6.8 之前的 1.6.x 版本和 1.7.7 之前的 1.7.x 版本允许本地攻击者通过构建的 JSON 文档(用于触发任意 Ruby 符号或特定内部对象的创建),造成拒绝服务(资源消耗)或绕过批量分配保护机制,在 Rails 上对 Ruby 发起 SQL 注入攻击即为一例,此漏洞也称为“不安全对象创建漏洞”。(CVE-2013-0269)

- 在不使用 dataType 选项的情况下执行跨域 Ajax 请求时,jQuery 3.0.0 之前的版本容易受到跨站脚本 (XSS) 攻击,从而导致执行文本/javascript 响应。
(CVE-2015-9251)

- Ruby 2.2.10 之前的版本、2.3.7 之前的 2.3.x 版本、2.4.4 之前的 2.4.x 版本、2.5.1 之前的 2.5.x 版本和 2.6.0-preview1 版本容易受到 HTTP 响应拆分攻击。攻击者可以将构建的键和值注入 WEBrick HTTP 服务器的 HTTP 响应中。(CVE-2017-17742)

- Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 版本和 2.6.x 至2.6.4 版本错误地处理了 File.fnmatch 函数内的路径检查。(CVE-2019-15845)

- WEBrick: : HTTPAuth: : DigestAuth(Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 版本和 2.6.x 至 2.6.4 版本)中存在因循环/回溯导致的正则表达式拒绝服务。受害者必须将使用 DigestAuth 的 WEBrick 服务器暴露给 Internet 或不受信任的网络。(CVE-2019-16201)

- Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 和 2.6.x 至 2.6.4 版本允许 HTTP 响应拆分。如果使用 WEBrick 的程序将不受信任的输入插入响应标头,则攻击者可利用它插入换行符以拆分标头,以及注入恶意内容欺骗客户端。注意:此问题之所以存在,是因为对 CVE-2017-17742 的修复不完整,该修复解决了 CRLF 向量,但未解决隔离的 CR 或隔离的 LF。(CVE-2019-16254)

- 如果 lib/shell.rb 中 Shell#[] 或 Shell#test 的第一个参数(也称为命令参数)是不受信任的数据,则 Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 版本和 2.6.x 至 2.6.4 版本允许代码注入。攻击者可利用此问题调用任意 Ruby 方法。(CVE-2019-16255)

- 在 Ruby 2.4 至 2.4.9 版本、2.5 至 2.5.7 版本和 2.6 至 2.6.5 版本所使用的适用于 Ruby 的 JSON gem 2.2.0 及之前的版本中,存在不安全对象创建漏洞。这与 CVE-2013-0269 非常相似,但是不依赖于 Ruby 内不良的垃圾回收行为。具体而言,使用 JSON 解析方法会导致在解释器内创建恶意对象,并产生与应用程序相关的负面影响。(CVE-2020-10663)

请注意,Nessus 尚未测试此问题,而是只依赖于应用程序自我报告的版本号。

解决方案

Run 'yum update ruby24' to update your system.

另见

https://alas.aws.amazon.com/ALAS-2020-1422.html

https://access.redhat.com/security/cve/CVE-2012-6708

https://access.redhat.com/security/cve/CVE-2015-9251

https://access.redhat.com/security/cve/CVE-2019-15845

https://access.redhat.com/security/cve/CVE-2019-16201

https://access.redhat.com/security/cve/CVE-2019-16254

https://access.redhat.com/security/cve/CVE-2019-16255

https://access.redhat.com/security/cve/CVE-2020-10663

插件详情

严重性: High

ID: 140096

文件名: ala_ALAS-2020-1422.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2020/8/31

最近更新时间: 2021/3/26

依存关系: ssh_get_info.nasl

风险信息

CVSS 分数来源: CVE-2013-0269

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:POC/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:ruby24, p-cpe:/a:amazon:linux:ruby24-debuginfo, p-cpe:/a:amazon:linux:ruby24-devel, p-cpe:/a:amazon:linux:ruby24-doc, p-cpe:/a:amazon:linux:ruby24-irb, p-cpe:/a:amazon:linux:ruby24-libs, p-cpe:/a:amazon:linux:rubygem24-bigdecimal, p-cpe:/a:amazon:linux:rubygem24-did_you_mean, p-cpe:/a:amazon:linux:rubygem24-io-console, p-cpe:/a:amazon:linux:rubygem24-json, p-cpe:/a:amazon:linux:rubygem24-minitest5, p-cpe:/a:amazon:linux:rubygem24-net-telnet, p-cpe:/a:amazon:linux:rubygem24-power_assert, p-cpe:/a:amazon:linux:rubygem24-psych, p-cpe:/a:amazon:linux:rubygem24-rdoc, p-cpe:/a:amazon:linux:rubygem24-test-unit, p-cpe:/a:amazon:linux:rubygem24-xmlrpc, p-cpe:/a:amazon:linux:rubygems24, p-cpe:/a:amazon:linux:rubygems24-devel, cpe:/o:amazon:linux

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/8/26

漏洞发布日期: 2013/2/13

参考资料信息

CVE: CVE-2012-6708, CVE-2013-0269, CVE-2015-9251, CVE-2017-17742, CVE-2019-15845, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255, CVE-2020-10663

BID: 57899, 102792, 103684, 105658

ALAS: 2020-1422