Ubuntu 10.04 LTS / 10.10 / 11.04 / 11.10:ruby1.8 漏洞 (USN-1377-1)
high Nessus 插件 ID 58146
语言:
简介
远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。描述
Drew Yao 发现 WEBrick HTTP 服务器在显示错误页面时容易遭受跨站脚本攻击。远程攻击者可利用此缺陷来运行任意 Web 脚本。(CVE-2010-0541)
Drew Yao 发现 Ruby 的 BigDecimal 模块在 64 位平台上未正确分配内存。攻击者可利用此缺陷来造成拒绝服务,或可能以用户权限执行任意代码。(CVE-2011-0188)
Nicholas Jefferson 发现 Ruby 中的 FileUtils.remove_entry_secure 方法未正确删除非空目录。攻击者可能利用此缺陷来删除任意文件。
(CVE-2011-1004)
已发现 Ruby 错误地允许在保护安全层级修改未污染的字符串。攻击者可利用此缺陷绕过预期访问限制。(CVE-2011-1005)
Eric Wong 发现 Ruby 在创建子进程时未正确重新植入其伪随机数发生器。攻击者可利用此缺陷来了解其他 Ruby 子进程中使用的随机数。(CVE-2011-2686)
Eric Wong 发现 Ruby 中的 SecureRandom 模块未正确植入其伪随机数发生器。攻击者可利用此缺陷来获了解具有相同进程 ID 编号的其他 Ruby 进程使用的随机数。(CVE-2011-2705)
Alexander Klink 和 Julian Wälde 发现 Ruby 在没有可预见性地限制触发哈希冲突能力的情况下计算哈希值。远程攻击者可通过构建哈希表中使用的值来造成拒绝服务。(CVE-2011-4815)。
解决方案
更新受影响的 libruby1.8 和/或 ruby1.8 程序包。另见
插件详情
严重性: High
ID: 58146
文件名: ubuntu_USN-1377-1.nasl
版本: 1.10
类型: local
代理: unix
发布时间: 2012/2/28
最近更新时间: 2019/9/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.8
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:libruby1.8, p-cpe:/a:canonical:ubuntu_linux:ruby1.8, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:10.10, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10
必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
易利用性: No known exploits are available
补丁发布日期: 2012/2/27
漏洞发布日期: 2010/6/17
参考资料信息
CVE: CVE-2010-0541, CVE-2011-0188, CVE-2011-1004, CVE-2011-1005, CVE-2011-2686, CVE-2011-2705, CVE-2011-4815
BID: 40895, 46458, 46460, 46966, 49015, 51198
USN: 1377-1