Amazon Linux 2:ruby (ALASRUBY2.6-2023-007)
high Nessus 插件 ID 182068
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 ruby 版本低于 2.6.6-125 版。因此,它受到 ALAS2RUBY2.6-2023-007 公告中提及的多个漏洞影响。- jQuery 1.9.0 之前的版本容易受到跨站脚本 (XSS) 攻击。jQuery(strInput) 函数无法可靠区分选择器和 HTML。在漏洞版本中,jQuery 通过查找字符串中任意位置是否存在“<”字符来确定是否输入为 HTML,这使得攻击者在试图构建恶意有效载荷时更具灵活性。在已修复的版本中,jQuery 只会将明确以“<”字符开头的输入视为 HTML,并将可利用漏洞的对象完全限制为能够控制字符串开头的攻击者,而这种情况不太常见。(CVE-2012-6708)
- 在不使用 dataType 选项的情况下执行跨域 Ajax 请求时,jQuery 3.0.0 之前的版本容易受到跨站脚本 (XSS) 攻击,从而导致执行文本/javascript 响应。
(CVE-2015-9251)
- Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 版本和 2.6.x 至2.6.4 版本错误地处理了 File.fnmatch 函数内的路径检查。(CVE-2019-15845)
- WEBrick: : HTTPAuth: : DigestAuth(Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 版本和 2.6.x 至 2.6.4 版本)中存在因循环/回溯导致的正则表达式拒绝服务。受害者必须将使用 DigestAuth 的 WEBrick 服务器暴露给 Internet 或不受信任的网络。(CVE-2019-16201)
- Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 和 2.6.x 至 2.6.4 版本允许 HTTP 响应拆分。如果使用 WEBrick 的程序将不受信任的输入插入响应标头,则攻击者可利用它插入换行符以拆分标头,以及注入恶意内容欺骗客户端。注意:此问题之所以存在,是因为对 CVE-2017-17742 的修复不完整,该修复解决了 CRLF 向量,但未解决隔离的 CR 或隔离的 LF。(CVE-2019-16254)
- 如果 lib/shell.rb 中 Shell#[] 或 Shell#test 的第一个参数(也称为命令参数)是不受信任的数据,则 Ruby 2.4.7 及之前的版本、2.5.x 至 2.5.6 版本和 2.6.x 至 2.6.4 版本允许代码注入。攻击者可利用此问题调用任意 Ruby 方法。(CVE-2019-16255)
- 在 Ruby 2.4 至 2.4.9 版本、2.5 至 2.5.7 版本和 2.6 至 2.6.5 版本所使用的适用于 Ruby 的 JSON gem 2.2.0 及之前的版本中,存在不安全对象创建漏洞。这与 CVE-2013-0269 非常相似,但是不依赖于 Ruby 内不良的垃圾回收行为。具体而言,使用 JSON 解析方法会导致在解释器内创建恶意对象,并产生与应用程序相关的负面影响。(CVE-2020-10663)
- 在 2.5.x 至 2.5.7 版本、2.6.x 至 2.6.5 版本以及 2.7.0 版本的 Ruby 中发现一个问题。如果受害者调用 BasicSocket#read_nonblock(requested_size, buffer, exception: false),该方法会调整缓冲区大小以适合请求的大小,但不会复制任何数据。因此,缓冲区字符串会提供先前的堆值。这可能会暴露来自解释器的敏感数据。(CVE-2020-10933)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行 'yum update ruby' 以更新系统。另见
https://alas.aws.amazon.com/AL2/ALASRUBY2.6-2023-007.html
https://alas.aws.amazon.com/cve/html/CVE-2012-6708.html
https://alas.aws.amazon.com/cve/html/CVE-2015-9251.html
https://alas.aws.amazon.com/cve/html/CVE-2019-15845.html
https://alas.aws.amazon.com/cve/html/CVE-2019-16201.html
https://alas.aws.amazon.com/cve/html/CVE-2019-16254.html
https://alas.aws.amazon.com/cve/html/CVE-2019-16255.html
https://alas.aws.amazon.com/cve/html/CVE-2020-10663.html
插件详情
严重性: High
ID: 182068
文件名: al2_ALASRUBY2_6-2023-007.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2023/9/27
最近更新时间: 2024/12/11
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2019-16255
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:ruby-devel, p-cpe:/a:amazon:linux:rubygem-xmlrpc, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:rubygem-net-telnet, p-cpe:/a:amazon:linux:rubygem-irb, p-cpe:/a:amazon:linux:rubygem-test-unit, p-cpe:/a:amazon:linux:ruby-libs, p-cpe:/a:amazon:linux:rubygems, p-cpe:/a:amazon:linux:rubygems-devel, p-cpe:/a:amazon:linux:ruby-debuginfo, p-cpe:/a:amazon:linux:rubygem-rake, p-cpe:/a:amazon:linux:rubygem-psych, p-cpe:/a:amazon:linux:rubygem-bigdecimal, p-cpe:/a:amazon:linux:rubygem-power_assert, p-cpe:/a:amazon:linux:rubygem-minitest, p-cpe:/a:amazon:linux:rubygem-io-console, p-cpe:/a:amazon:linux:rubygem-bundler, p-cpe:/a:amazon:linux:rubygem-rdoc, p-cpe:/a:amazon:linux:ruby-doc, p-cpe:/a:amazon:linux:rubygem-did_you_mean, p-cpe:/a:amazon:linux:rubygem-json, p-cpe:/a:amazon:linux:ruby, p-cpe:/a:amazon:linux:rubygem-openssl
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/8/21
漏洞发布日期: 2018/1/18
参考资料信息
CVE: CVE-2012-6708, CVE-2015-9251, CVE-2019-15845, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255, CVE-2020-10663, CVE-2020-10933