Amazon Linux AMI:ruby (ALAS-2013-173)
medium Nessus 插件 ID 69732
语言:
简介
远程 Amazon Linux AMI 主机缺少安全更新。描述
已发现 Ruby 的 REXML 库未正确限制 XML 实体扩展。攻击者可利用此缺陷,通过诱骗使用 REXML 的 Ruby 应用程序从特别构建的 XML 内容读取文本节点,导致 REXML 消耗大量系统内存,从而造成拒绝服务。(CVE-2013-1821)已发现 RHSA-2011-0910 更新未能正确修复 CVE-2011-1005 问题,将异常消息转换为异常类中字符串的方法存在缺陷。远程攻击者可利用该缺陷绕过安全级 4 的限制,从而允许不受信任(受感染)的代码修改任意不受信任(受感染)的字符串,而安全级 4 的限制本应阻止此行为。(CVE-2012-4481)
Ruby 1.8.6 至 1.8.6-420、1.8.7 至 1.8.7-330 以及 1.8.8dev 中的安全级功能允许上下文有关的攻击者通过 Exception#to_s 方法修改字符串,这一点已通过更改预期路径名证实。(CVE-2011-1005)
解决方案
运行 'yum update ruby' 以更新系统。另见
插件详情
严重性: Medium
ID: 69732
文件名: ala_ALAS-2013-173.nasl
版本: 1.6
类型: local
代理: unix
发布时间: 2013/9/4
最近更新时间: 2018/4/18
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
漏洞信息
CPE: cpe:/o:amazon:linux, p-cpe:/a:amazon:linux:ruby, p-cpe:/a:amazon:linux:ruby-debuginfo, p-cpe:/a:amazon:linux:ruby-devel, p-cpe:/a:amazon:linux:ruby-irb, p-cpe:/a:amazon:linux:ruby-libs, p-cpe:/a:amazon:linux:ruby-rdoc, p-cpe:/a:amazon:linux:ruby-ri, p-cpe:/a:amazon:linux:ruby-static
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
补丁发布日期: 2013/3/14