Oracle Linux 8:ruby:3.1 (ELSA-2025-4063)
high Nessus 插件 ID 234723
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2025-4063 公告中提及的多个漏洞影响。- 修复了 REXML 中的 DoS 漏洞。 (CVE-2024-39908) 解决 RHEL-57051
- 修复了 REXML 中的 DoS 漏洞。 (CVE-2024-43398) 解决 RHEL-56002
- 修复 REXML ReDoS 漏洞。 (CVE-2024-49761) 解决 RHEL-68520
- 修复 CGI 中的 HTTP 响应拆分。
已解决:CVE-2021-33621
- 修复 URI 中的 ReDos 漏洞。
已解决:CVE-2023-28755 已解决:CVE-2023-36617
- 修复 Time 中的 ReDos 漏洞。
已解决:CVE-2023-28756
- 修复 RDoc 中的命令注入漏洞。 (CVE-2021-31799)
- 修复了 FTP PASV 命令响应可能造成 Net::FTP 连接到任意主机的问题。
(CVE-2021-31810)
- 修复 Net::IMAP 中的 StartTLS 剥离漏洞 (CVE-2021-32066)
- 通过从不同的来源安装的明确来源修复 gem 的依存关系。 (CVE-2020-36327)
- 修复 CVE-2013-4073。
- 修复 DL 和 Fiddle 中受感染的绕过 (CVE-2013-2065)。
- 修复 MurmurHash 函数中的哈希泛洪 DoS 漏洞 (CVE-2012-5371)
- 在传递包含 NUL 的路径名称时不创建文件缺陷 865940 CVE-2012-4522
- 来自 CVE-2012-4464、 CVE-2012-4466的中继的修补程序
- 进程启动时随机化哈希CVE-2011-4815,缺陷 750564
- CVE-2011-2686 已修复此版本 缺陷 722415
- CVE-2010-0541 缺陷 587731已在此版本中修复
- CVE-2009-4492 ruby WEBrick 日志转义序列缺陷 554485
- 新的修补程序级修复 CVE-2009-1904
- 修复 CVE-2008-3790 中的回归 (#485383)
- CVE-2008-5189CGI 标头注入。
- CVE-2008-3790REXML 模块中的 DoS 漏洞。
- 安全补丁。
- CVE-2008-3655Ruby 未在各种安全级别正确限制对关键变量和方法的访问。
- CVE-2008-3656WEBrick 中的 DoS 漏洞。
- CVE-2008-3657dl 中缺少感染检查。
- CVE-2008-1447:resolv.rb 中的 DNS 欺骗漏洞。
- CVE-2008-3443Ruby regex 引擎中的内存分配失败。
- 安全补丁。 (#452295)
- CVE-2008-1891:WEBrick CGI 来源泄露。
- CVE-2008-2662rb_str_buf_append() 中存在整数溢出。
- CVE-2008-2663rb_ary_store() 中存在整数溢出。
- CVE-2008-2664rb_str_format() 中不安全使用 alloca。
- CVE-2008-2725rb_ary_splice() 中存在整数溢出。
- CVE-2008-2726rb_ary_splice() 中存在整数溢出。
- ruby-1.8.6.111-CVE-2007-5162.patch:已删除。
- 针对 CVE-2008-1145 的安全修复。
- ruby-1.8.6.111-CVE-2007-5162.patch通过主干处的向后移植更改的更新位从而无需对用户的脚本进行任何修改即可启用修复。
请注意,Net::HTTP#enable_post_connection_check 不再可用。
如果要禁用此后检查应将 OpenSSL::SSL::VERIFY_NONE 指定给 Net::HTTP#verify_mode= 而不是。
- ruby-1.8.6-CVE-2007-5162.patch针对 Net::HTTP 的安全补丁即 SSL 证书验证不充分。
- ruby-1.8.5-cgi-CVE-2006-5467.patch修复导致拒绝服务的 CGI 多部分解析缺陷。 (#212396)
- 安全补丁 [CVE-2006-3694]
- ruby-1.8.4-fix-insecure-dir-operation.patch:
- ruby-1.8.4-fix-insecure-regexp-modification.patch修复了某些安全级别限制中的不安全操作。 (#199538)
- ruby-1.8.4-fix-alias-safe-level.patch已修复无法绕过某些安全级别限制。 (#199543)
Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 234723
文件名: oraclelinux_ELSA-2025-4063.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/4/22
最近更新时间: 2025/4/22
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2025-27221
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 8.2
Threat Score: 6.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2024-43398
漏洞信息
CPE: p-cpe:/a:oracle:linux:rubygem-json, p-cpe:/a:oracle:linux:rubygems, cpe:/a:oracle:linux:8::appstream_developer, p-cpe:/a:oracle:linux:rubygem-psych, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:rubygem-io-console, p-cpe:/a:oracle:linux:rubygem-pg, p-cpe:/a:oracle:linux:rubygem-typeprof, p-cpe:/a:oracle:linux:rubygem-bigdecimal, p-cpe:/a:oracle:linux:rubygem-rdoc, p-cpe:/a:oracle:linux:rubygem-irb, cpe:/a:oracle:linux:8::appstream, cpe:/a:oracle:linux:8:9:appstream_base, p-cpe:/a:oracle:linux:rubygem-power_assert, p-cpe:/a:oracle:linux:rubygems-devel, p-cpe:/a:oracle:linux:rubygem-bundler, p-cpe:/a:oracle:linux:rubygem-mysql2, p-cpe:/a:oracle:linux:rubygem-abrt-doc, p-cpe:/a:oracle:linux:rubygem-pg-doc, p-cpe:/a:oracle:linux:rubygem-rbs, p-cpe:/a:oracle:linux:rubygem-mysql2-doc, p-cpe:/a:oracle:linux:ruby-doc, p-cpe:/a:oracle:linux:rubygem-rexml, p-cpe:/a:oracle:linux:rubygem-abrt, p-cpe:/a:oracle:linux:ruby, p-cpe:/a:oracle:linux:rubygem-rake, p-cpe:/a:oracle:linux:ruby-bundled-gems, p-cpe:/a:oracle:linux:ruby-default-gems, cpe:/a:oracle:linux:8:8:appstream_base, p-cpe:/a:oracle:linux:rubygem-minitest, p-cpe:/a:oracle:linux:ruby-devel, p-cpe:/a:oracle:linux:ruby-libs, p-cpe:/a:oracle:linux:rubygem-test-unit, p-cpe:/a:oracle:linux:rubygem-rss
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/4/22
漏洞发布日期: 2024/7/16
参考资料信息
CVE: CVE-2024-39908, CVE-2024-41123, CVE-2024-41946, CVE-2024-43398, CVE-2025-27219, CVE-2025-27220, CVE-2025-27221
IAVB: 2024-B-0105-S, 2024-B-0124-S