检测

Oracle Linux 9:ruby:3.1 (ELSA-2024-3668)

critical Nessus 插件 ID 200183

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2024-3668 公告中提及的多个漏洞影响。

 ruby [3.1.5-144]
 - 升级到 Ruby 3.1.5。
 已解决:RHEL-33978
 - 修复 StringIO 中的缓冲区越界读取漏洞。
 已解决:RHEL-34129
 - 修复 RDoc 中的 .rdoc_options 存在 RCE 漏洞。
 已解决:RHEL-34121
 - 修复正则表达式搜索引起的任意内存地址读取漏洞。
 已解决:RHEL-33871

 [3.1.4-143]
 - 升级到 Ruby 3.1.4。
 已解决:RHEL-5586
 - 修复 CGI 中的 HTTP 响应拆分。
 已解决:RHEL-5591
 - 修复 URI 中的 ReDos 漏洞。
 已解决:RHEL-28919 已解决:RHEL-5612
 - 修复 Time 中的 ReDos 漏洞。
 已解决:RHEL-28920
 - 使 IRB 中的 RDoc 成为软依赖。
 已解决:RHEL-5613

 [3.1.2-142]
 - 绕过 Git >= 上的 git 子模块测试失败 2.38.1。
 - 修复 tzdata 版本 2022b 上对欧洲/阿姆斯特丹 1970 年之前时间的测试。
 - 修复 tzdata-2022g。
 - 修复 OpenSSL 3 FIPS 中的 OpenSSL.fips_mode 和 OpenSSL::PKey.read。
 已解决:RHEL-5590
 - ssl:将 RFC 7919 中的 ffdhe2048 用作默认 DH 群组参数。相关:RHEL-5590
 - 禁用使用 FFI 关闭的 fiddle 测试。
 相关:RHEL-5590

 [3.1.2-141]
 - 通过合并 Fedora Rawhide 分支升级到 Ruby 3.1.2(commit:b7b5473)。
 已解决:rhbz#2063773

 rubygem-mysql2 [0.5.4-1]
 - 通过合并 Fedora rawhide 分支的新上游版本 0.5.4(commit:e21b5b9)已解决:rhbz#2063773

 [0.5.3-1]
 - 通过合并 Fedora 主机分支的新上游版本 0.5.3(commit:674d475)已解决:rhbz#1817135

 rubygem-pg
 * 2022 年 5 月 26 日星期四 Jarek Prokop - 1.3.5-1
 - 更新到 pg 1.3.5 相关:rhbz#2063773

 [1.2.3-1]
 - 通过合并 Fedora 主机分支更新到 pg 1.2.3 (commit:5db4d26) 已解决:rhbz#1817135

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2024-3668.html

插件详情

严重性: Critical

ID: 200183

文件名: oraclelinux_ELSA-2024-3668.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2024/6/7

最近更新时间: 2024/11/2

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.1

时间分数: 4.5

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:P/A:P

CVSS 分数来源: CVE-2024-27282

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2024-27280

漏洞信息

CPE: p-cpe:/a:oracle:linux:rubygem-json, p-cpe:/a:oracle:linux:rubygems, cpe:/a:oracle:linux:9:4:appstream_base, p-cpe:/a:oracle:linux:rubygem-psych, cpe:/a:oracle:linux:9:1:appstream_base, p-cpe:/a:oracle:linux:rubygem-pg, p-cpe:/a:oracle:linux:rubygem-io-console, cpe:/a:oracle:linux:9::appstream, cpe:/o:oracle:linux:9, cpe:/a:oracle:linux:9::appstream_developer, p-cpe:/a:oracle:linux:rubygem-typeprof, p-cpe:/a:oracle:linux:rubygem-bigdecimal, cpe:/a:oracle:linux:9:3:appstream_base, p-cpe:/a:oracle:linux:rubygem-rdoc, p-cpe:/a:oracle:linux:rubygem-irb, cpe:/a:oracle:linux:9:2:appstream_base, p-cpe:/a:oracle:linux:rubygem-power_assert, p-cpe:/a:oracle:linux:rubygems-devel, p-cpe:/a:oracle:linux:rubygem-bundler, p-cpe:/a:oracle:linux:rubygem-mysql2, p-cpe:/a:oracle:linux:rubygem-pg-doc, p-cpe:/a:oracle:linux:rubygem-rbs, p-cpe:/a:oracle:linux:rubygem-mysql2-doc, p-cpe:/a:oracle:linux:ruby-doc, p-cpe:/a:oracle:linux:rubygem-rexml, p-cpe:/a:oracle:linux:ruby, cpe:/a:oracle:linux:9:4:appstream_patch, p-cpe:/a:oracle:linux:rubygem-rake, p-cpe:/a:oracle:linux:ruby-bundled-gems, p-cpe:/a:oracle:linux:ruby-default-gems, p-cpe:/a:oracle:linux:rubygem-minitest, p-cpe:/a:oracle:linux:ruby-devel, p-cpe:/a:oracle:linux:ruby-libs, p-cpe:/a:oracle:linux:rubygem-test-unit, p-cpe:/a:oracle:linux:rubygem-rss

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2024/6/6

漏洞发布日期: 2024/4/23

参考资料信息

CVE: CVE-2024-27280, CVE-2024-27281, CVE-2024-27282

IAVA: 2024-A-0328