检测

Oracle Linux 9:ruby:3.3 (ELSA-2026-18030)

high Nessus 插件 ID 315505

语言:

简介

远程 Oracle Linux 主机缺少安全更新。

描述

远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2026-18030 公告中提及的漏洞的影响。

 - 通过 ERB 中的反序列化绕过修复任意代码执行。(CVE-2026-41316) 解决: RHEL-171255
 - 修复 resolv gem (CVE-2025-24294) 中可能的拒绝服务
 - 修复 URI 凭据泄漏绕过之前的补丁。(CVE-2025-61594)
 - 修复 REXML 拒绝服务。(CVE-2025-58767) 解决: RHEL-122015
 - 修复因内存耗尽而容易遭受可能的 DoS 攻击的 Net::IMAP。(CVE-2025-25186)
 - 修复 CGI::Cookie.parse 中的拒绝服务。(CVE-2025-27219) 解决: RHEL-86109
 - 修复 URI#join、URI#merge 和 URI#+ 中的 userinfo 泄漏。(CVE-2025-27221)
 - 修复 rexml 中的 DoS 漏洞。
 (CVE-2024-39908) (CVE-2024-41946) (CVE-2024-43398) 解决: RHEL-57575 解决: RHEL-57572 解决: RHEL-57068
 - 修复解析具有许多特定字符(例如空白字符、 >] 和 ]>)的 XML 时发生的 REXML DoS。
 (CVE-2024-41123) 已解决:RHEL-57569
 - 修复 StringIO 中的缓冲区越界读取漏洞。
 (CVE-2024-27280) 已解决:RHEL-34130
 - 修复 RDoc 中的 .rdoc_options 存在 RCE 漏洞。
 (CVE-2024-27281) 已解决:RHEL-34122
 - 修复正则表达式搜索引起的任意内存地址读取漏洞。
 (CVE-2024-27282) 已解决:RHEL-33872

 rubygem-mysql2

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2026-18030.html

插件详情

严重性: High

ID: 315505

文件名: oraclelinux_ELSA-2026-18030.nasl

版本: 1.1

类型: Local

代理: unix

发布时间: 2026/5/19

最近更新时间: 2026/5/19

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.6

时间分数: 5.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-41316

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:rubygem-json, p-cpe:/a:oracle:linux:rubygems, p-cpe:/a:oracle:linux:rubygem-psych, p-cpe:/a:oracle:linux:rubygem-pg, p-cpe:/a:oracle:linux:rubygem-pg-doc, p-cpe:/a:oracle:linux:rubygem-rbs, p-cpe:/a:oracle:linux:rubygem-mysql2-doc, p-cpe:/a:oracle:linux:ruby-doc, p-cpe:/a:oracle:linux:rubygem-rexml, p-cpe:/a:oracle:linux:ruby, p-cpe:/a:oracle:linux:rubygem-rake, p-cpe:/a:oracle:linux:ruby-default-gems, p-cpe:/a:oracle:linux:rubygem-io-console, cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:rubygem-typeprof, p-cpe:/a:oracle:linux:rubygem-bigdecimal, p-cpe:/a:oracle:linux:rubygem-racc, p-cpe:/a:oracle:linux:rubygem-rdoc, p-cpe:/a:oracle:linux:rubygem-irb, p-cpe:/a:oracle:linux:rubygem-power_assert, p-cpe:/a:oracle:linux:rubygems-devel, p-cpe:/a:oracle:linux:rubygem-bundler, p-cpe:/a:oracle:linux:rubygem-mysql2, p-cpe:/a:oracle:linux:ruby-bundled-gems, p-cpe:/a:oracle:linux:rubygem-minitest, p-cpe:/a:oracle:linux:ruby-devel, p-cpe:/a:oracle:linux:ruby-libs, p-cpe:/a:oracle:linux:rubygem-test-unit, p-cpe:/a:oracle:linux:rubygem-rss

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2026/5/19

漏洞发布日期: 2026/4/24

参考资料信息

CVE: CVE-2026-41316