Debian DLA-3408-1：jruby - LTS 安全更新

high Nessus 插件 ID 174967

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的一个程序包受到 dla-3408 公告中提及的多个漏洞影响。

- Ruby 2.2.10 之前的版本、2.3.7 之前的 2.3.x 版本、2.4.4 之前的 2.4.x 版本、2.5.1 之前的 2.5.x 版本和 2.6.0-preview1 版本容易受到 HTTP 响应拆分攻击。攻击者可以将构建的键和值注入 WEBrick HTTP 服务器的 HTTP 响应中。(CVE-2017-17742)

- WEBrick: : HTTPAuth: : DigestAuth（Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 版本和 2.6.x 至 2.6.4 版本）中存在因循环/回溯导致的正则表达式拒绝服务。受害者必须将使用 DigestAuth 的 WEBrick 服务器暴露给 Internet 或不受信任的网络。(CVE-2019-16201)

- Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 和 2.6.x 至 2.6.4 版本允许 HTTP 响应拆分。如果使用 WEBrick 的程序将不受信任的输入插入响应标头，则攻击者可利用它插入换行符以拆分标头，以及注入恶意内容欺骗客户端。注意：此问题之所以存在，是因为对 CVE-2017-17742 的修复不完整，该修复解决了 CRLF 向量，但未解决隔离的 CR 或隔离的 LF。(CVE-2019-16254)

- 如果 lib/shell.rb 中 Shell#[] 或 Shell#test 的第一个参数（也称为命令参数）是不受信任的数据，则 Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 版本和 2.6.x 至 2.6.4 版本允许代码注入。攻击者可利用此问题调用任意 Ruby 方法。(CVE-2019-16255)

- 在 Ruby 2.5.8 及之前版本、2.6.6 及之前的 2.6.x 以及 2.7.1 及之前的 2.7.x 中发现一个问题。WEBrick 是 Ruby 捆绑的简单 HTTP 服务器，未严格检查传输编码标头值。攻击者可能利用此问题绕过反向代理（同样未严格检查标头），进而可能导致 HTTP 请求走私攻击。(CVE-2020-25613)

- 在 Ruby 2.6.7 及之前版本、2.7.3 及之前的 2.7.x 以及 3.0.1 及之前的 3.x 中发现一个问题。恶意 FTP 服务器可使用 PASV 响应诱骗 Net: : FTP 重新连接指定的 IP 地址和端口。
这可能导致 curl 提取有关本应为私有且未泄露的服务的信息（例如，攻击者可执行端口扫描及服务标题提取）。(CVE-2021-31810)

- 在 Ruby 2.6.7 及之前版本、2.7.3 及之前的 2.7.x 以及 3.0.1 及之前的 3.x 中发现一个问题。Net：: IMAP 未引发异常，这可能允许中间人攻击者利用客户端与注册表之间的网络位置绕过 TLS 保护，从而阻断 StartTLS 命令，即 StartTLS 剥离攻击。(CVE-2021-32066)

- 在 Ruby 3.2.1 及其之前所有版本中，在 0.12.0 及其之前所有版本的 URI 组件中发现 ReDoS 问题。URI 解析器错误处理具有特定字符的无效 URL，这会导致将字符串解析为 URI 对象的执行时间增加。修复后的版本为 0.12.1、0.11.1、0.10.2 和 0.10.0.1。(CVE-2023-28755)

- 在 Ruby 3.2.1 及其之前所有版本中，在 0.2.1 及其之前所有版本的 Time 组件中发现 ReDoS 问题。Time 解析器错误处理具有特定字符的无效 URL，这会导致将字符串解析为 Time 对象的执行时间增加。修复后的版本为 0.1.1 和 0.2.2。(CVE-2023-28756)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。