检测

MagicLinux 3ruby-1.8.5-5.1.1AXS3 (AXSA:2008-86:01)

critical Nessus 插件 ID 284321

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2008-86:01 公告中提及的多个漏洞的影响。

 Ruby 是一种直译式脚本语言,用于快速且轻松的面向对象编程。
 CVE 2008-2662在 Ruby 1.8.4 和更早版本、1.8.5-p231 之前的 1.8.5 、1.8.6-p230 之前的 1.8.6 、1.8.7-p22 之前的 1.8.7 以及 1.9.0 之前的 1.9.0-2 中rb_str_buf_append 函数中存在多个整数溢出。允许上下文有关的攻击者通过可触发内存损坏的未知矢量执行任意代码或造成拒绝服务此问题与 CVE-2008-2663、 CVE-2008-2664和 CVE-2008-2725不同。
 注意自 20080624 起修复与 Ruby 相关的多个 CVE 标识符的使用不一致。尽管此 CVE 描述可能会发生变更但应视为权威描述。
 CVE 2008-2663在 Ruby 1.8.4 和更早版本、1.8.5-p231 之前的 1.8.5 、1.8.6-p230 之前的 1.8.6 以及 1.8.7-p22 之前的 1.8.7 中rb_ary_store 函数中的多个整数溢出允许上下文相关可能导致攻击者通过未知矢量执行任意代码或造成拒绝服务此问题与 CVE-2008-2662、 CVE-2008-2664和 CVE-2008-2725不同。注意自 20080624 起修复与 Ruby 相关的多个 CVE 标识符的使用不一致。尽管可能会变更 CVE 描述应被视为权威。
 CVE 2008-2664Ruby 1.8.4 和更早版本、1.8.5-p231 之前的 1.8.51.8.6 、 1.8.6-p230 之前的 []、1.8.7-p22 之前的 1.8.7 以及 1.9.0 ] 之前的 1.9.0-2 中的 rb_str_format 函数允许上下文依赖于攻击者可通过与 alloca 相关的不明矢量触发内存损坏此问题与 CVE-2008-2662、 CVE-2008-2663和 CVE-2008-2725不同。注意自 20080624 起修复与 Ruby 相关的多个 CVE 标识符的使用不一致。尽管可能会变更 CVE 描述应被视为权威。
 CVE 2008-2725在 Ruby 1.8.4 和更早版本、1.8.5-p231 之前的 1.8.5 、1.8.6-p230 之前的 1.8.6 以及 1.8.7-p22 之前的 1.8.7 中rb_ary_splice 函数中的整数溢出允许上下文有关的攻击者通过不明矢量触发内存损坏即 REALLOC_N 变体此问题不同于 CVE-2008-2662、 CVE-2008-2663和 CVE-2008-2664。注意自 20080624 起修复与 Ruby 相关的多个 CVE 标识符的使用不一致。尽管可能会变更 CVE 描述应被视为权威。
 CVE 2008-2726rb_ary_splice 函数中的整数溢出在 Ruby 中 1.8.4 和更早版本、1.8.5-p231 之前的 1.8.51.8.6 、1.8.6-p230 之前的 1.8.7 、1.8.7-p22 之前的 1.9.0 以及 1.9.0-2 允许上下文有关的攻击者触发内存损坏即 beg + rlen 问题。注意自 20080624 起修复与 Ruby 相关的多个 CVE 标识符的使用不一致。尽管可能会变更 CVE 描述应被视为权威。
 CVE 2008-2376在修订版 17756 之前的 Ruby 中array.c 中 rb_ary_fill 函数内存在整数溢出允许上下文有关的攻击者通过调用 Array#fill 方法造成拒绝服务崩溃或者可能造成其他不明影响大于 ARY_MAX_SIZE 的开始(即 beg)参数。注意存在此问题的原因是对其他密切相关的整数溢出的不完整修复。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/183

插件详情

严重性: Critical

ID: 284321

文件名: miracle_linux_AXSA-2008-86.nasl

版本: 1.1

类型: Local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2008-2663

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2008-2376

漏洞信息

CPE: p-cpe:/a:miracle:linux:ruby, p-cpe:/a:miracle:linux:ruby-irb, p-cpe:/a:miracle:linux:ruby-mode, p-cpe:/a:miracle:linux:ruby-docs, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:ruby-devel, p-cpe:/a:miracle:linux:ruby-libs, p-cpe:/a:miracle:linux:ruby-tcltk

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2008/9/22

漏洞发布日期: 2008/6/23

参考资料信息

CVE: CVE-2008-2376, CVE-2008-2662, CVE-2008-2663, CVE-2008-2664, CVE-2008-2725, CVE-2008-2726