Ruby是一種可擴(kuò)展的�����、解釋性的����、面向?qū)ο蟮哪_本語(yǔ)言。它具有處理文本文件和執(zhí)行系統(tǒng)管理任務(wù)的功能�。8月5日,RedHat發(fā)布了安全更新,修復(fù)了紅帽Ruby腳本語(yǔ)言中發(fā)現(xiàn)的任意代碼執(zhí)行等重要漏洞����。以下是漏洞詳情:
漏洞詳情
1.CVE-2020-36327 CVSS評(píng)分:8.8 嚴(yán)重程度:高
在安裝受源限制的gem包的依賴項(xiàng)時(shí)�����,Bundler 確定源存儲(chǔ)庫(kù)的方式存在漏洞���。在使用多個(gè)gem存儲(chǔ)庫(kù)并明確定義要從哪個(gè)源存儲(chǔ)庫(kù)安裝某些 gem 的配置中����,如果該存儲(chǔ)庫(kù)提供了更高版本的包�,則可以從不同的源安裝受源限制的gem的依賴項(xiàng)�����。這可能導(dǎo)致安裝惡意gem版本和執(zhí)行任意代碼���。
2.CVE-2021-41817 CVSS評(píng)分:7.5 嚴(yán)重程度:中
在 ruby 中發(fā)現(xiàn)了一個(gè)漏洞,發(fā)現(xiàn)日期對(duì)象在解析日期期間容易受到正則表達(dá)式拒絕服務(wù) (ReDoS) 的攻擊��。此漏洞允許攻擊者通過(guò)提供特制的日期字符串來(lái)掛起 ruby 應(yīng)用程序�。此漏洞的最大威脅是系統(tǒng)可用性。
3.CVE-2021-41819 CVSS評(píng)分:7.5 嚴(yán)重程度:中
Ruby 到 2.6.8 中的 CGI::Cookie.parse 錯(cuò)誤處理 cookie 名稱中的安全前綴���。這也通過(guò) Ruby 的 0.3.0 影響了 CGI gem��。
4.CVE-2021-32066 CVSS評(píng)分:7.4 嚴(yán)重程度:中
Ruby 的 Net::IMAP 模塊在收到對(duì) STARTTLS 命令的意外響應(yīng)并且連接未升級(jí)為使用 TLS 時(shí)沒有引發(fā)異常�����。中間人攻擊者可以利用此漏洞阻止 Ruby 應(yīng)用程序使用 Net::IMAP 為與 IMAP 服務(wù)器的連接啟用 TLS 加密�����,然后竊聽或修改通過(guò)純文本連接發(fā)送的數(shù)據(jù)�。
5.CVE-2021-31799 CVSS評(píng)分:7.0 嚴(yán)重程度:中
在 RDoc 中發(fā)現(xiàn)了一個(gè)操作系統(tǒng)命令注入漏洞。使用 rdoc 命令為惡意 Ruby 源代碼生成文檔可能會(huì)導(dǎo)致以運(yùn)行 rdoc 的用戶的權(quán)限執(zhí)行任意命令���。
受影響產(chǎn)品和版本
Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64
Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7 s390x
Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7 ppc64le
Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
