Ubuntu 10.04 LTS / 10.10 / 11.04 / 11.10:ruby1.8 漏洞 (USN-1377-1)

high Nessus 插件 ID 58146

简介

远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。

描述

Drew Yao 发现 WEBrick HTTP 服务器在显示错误页面时容易遭受跨站脚本攻击。远程攻击者可利用此缺陷来运行任意 Web 脚本。
(CVE-2010-0541)

Drew Yao 发现 Ruby 的 BigDecimal 模块在 64 位平台上未正确分配内存。攻击者可利用此缺陷来造成拒绝服务,或可能以用户权限执行任意代码。(CVE-2011-0188)

Nicholas Jefferson 发现 Ruby 中的 FileUtils.remove_entry_secure 方法未正确删除非空目录。攻击者可能利用此缺陷来删除任意文件。
(CVE-2011-1004)

已发现 Ruby 错误地允许在保护安全层级修改未污染的字符串。攻击者可利用此缺陷绕过预期访问限制。(CVE-2011-1005)

Eric Wong 发现 Ruby 在创建子进程时未正确重新植入其伪随机数发生器。攻击者可利用此缺陷来了解其他 Ruby 子进程中使用的随机数。(CVE-2011-2686)

Eric Wong 发现 Ruby 中的 SecureRandom 模块未正确植入其伪随机数发生器。攻击者可利用此缺陷来获了解具有相同进程 ID 编号的其他 Ruby 进程使用的随机数。(CVE-2011-2705)

Alexander Klink 和 Julian Wälde 发现 Ruby 在没有可预见性地限制触发哈希冲突能力的情况下计算哈希值。远程攻击者可通过构建哈希表中使用的值来造成拒绝服务。(CVE-2011-4815)。

解决方案

更新受影响的 libruby1.8 和/或 ruby1.8 程序包。

另见

https://usn.ubuntu.com/1377-1/

插件详情

严重性: High

ID: 58146

文件名: ubuntu_USN-1377-1.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2012/2/28

最近更新时间: 2019/9/19

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 5.8

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: AV:N/AC:L/Au:N/C:N/I:N/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:libruby1.8, p-cpe:/a:canonical:ubuntu_linux:ruby1.8, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:10.10, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10

必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2012/2/27

漏洞发布日期: 2010/6/17

参考资料信息

CVE: CVE-2010-0541, CVE-2011-0188, CVE-2011-1004, CVE-2011-1005, CVE-2011-2686, CVE-2011-2705, CVE-2011-4815

BID: 40895, 46458, 46460, 46966, 49015, 51198

USN: 1377-1