Debian dla-4163bundler - 安全更新
low Nessus 插件 ID 236773
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4163 公告中提及的多个漏洞的影响。- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4163-1 [email protected] https://www.debian.org/lts/security/Lucas kanashiro 2025 年 5 月 12 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
程序包rubygems 版本3.2.5-2+deb11u1 CVE ID CVE-2021-43809 CVE-2023-28755 CVE-2025-27221
在包含用于 Ruby 的程序包管理框架和用于 Ruby 应用程序的依存关系管理器的 rubygems 中发现多个漏洞。
CVE-2021-43809
在 2.2.33之前的捆绑程序中使用不受信任且明显无害的“Gemfile”时预期它们不会导致执行外部代码除非在“Gemfile”本身内的 ruby 代码中明确指出。但是如果“Gemfile”包含“gem”条目该条目使用的“git”选项具有无效但看似无害的值且带有前导破折号则这可能是 false。为处理来自 Git 存储库而非注册表的依存关系Bundler 会使用各种命令例如“git clone”。正在使用用户输入例如存储库的 URL 构建这些命令。构建命令时 2.2.33 之前版本的 Bundler 会通过传递参数数组而非命令字符串正确避免命令注入漏洞。但是用户输入可能以破折号 (`-`) 开头因此被视为可选参数而不是位置参数。这可导致代码执行因为某些命令具有可用于运行任意可执行文件的选项。
CVE-2023-28755
在 Ruby 及之前版本的 URI 组件 0.12.0 中发现 ReDoS 问题 3.2.1。URI 解析器错误处理具有特定字符的无效 URL,这会导致将字符串解析为 URI 对象的执行时间增加。
CVE-2025-27221
URI 处理方法URI.join、URI#merge、URI#+会无意间泄漏认证凭据因为即使在更改主机之后也会保留 userinfo。
对于 Debian 11 Bullseye这些问题已在 3.2.5-2+deb11u1 版本中修复。
建议您升级 rubygems 程序包。
有关 rubygems 的详细安全状态请参阅其安全跟踪页面网址
https://security-tracker.debian.org/tracker/rubygems
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级捆绑程序包。另见
https://security-tracker.debian.org/tracker/source-package/rubygems
https://security-tracker.debian.org/tracker/CVE-2021-43809
https://security-tracker.debian.org/tracker/CVE-2023-28755
插件详情
严重性: Low
ID: 236773
文件名: debian_DLA-4163.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/5/15
最近更新时间: 2025/5/15
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 7.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2021-43809
CVSS v3
风险因素: High
基本分数: 7.3
时间分数: 6.6
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: Low
Base Score: 2.1
Threat Score: 1.2
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N
CVSS 分数来源: CVE-2025-27221
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:ruby-bundler, p-cpe:/a:debian:debian_linux:bundler, p-cpe:/a:debian:debian_linux:ruby-rubygems
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/5/12
漏洞发布日期: 2021/12/8