Scientific Linux 安全更新：SL6.x i386/x86_64 中的 ruby

medium Nessus 插件 ID 61197

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

Ruby 是一种可扩展的直译式面向对象的脚本语言。它具有处理文本文件和执行系统管理任务的功能。

发现 fork 子进程后 Ruby 未重新初始化 PRNG（伪随机数发生器）。这最终可导致 PRNG 两次都返回相同结果。跟踪一个子进程返回的值的攻击者可以利用此缺陷预测 PRNG 将在其他子进程中返回的值（只要父进程持续存在）。(CVE-2011-3009)

在 Ruby SecureRandom 模块中发现一个缺陷。当使用 SecureRandom.random_bytes 类时，fork 子进程后未修改 PRNG 状态。这最终可导致 SecureRandom.random_bytes 多次返回相同字符串。跟踪一个子进程返回的字符串的攻击者可以利用此缺陷预测 SecureRandom.random_bytes 将在其他子进程中返回的字符串（只要父进程持续存在）。(CVE-2011-2705)

此更新还修复以下缺陷：

- ruby 程序包已升级到上游点版本 1.8.7-p352，其提供了对之前版本的多项缺陷补丁。

- MD5 消息摘要算法并非 FIPS 批准的算法。因此，当 Ruby 脚本尝试以 FIPS 模式计算 MD5 校验和时，解释器会意外终止。此缺陷已修复，现在在所述情况中会抛出异常。

- 由于 mkconfig.rb 源文件中不当处理的行延续，尝试构建 ruby 程序包导致了意外终止。已应用上游修补程序以解决此问题，现在可以正确构建 Ruby 程序包。

- 在 64 位计算机上安装 32 位 ruby-libs 库时，mkmf 库无法加载构建 Ruby 相关程序包必需的各种模块。
此缺陷已修复，mkmf 现在能够正确地在所述情况中运行。

- 以前，脚本和二进制模块的加载路径在 i386 架构中复制。
因此，ActiveSupport 测试失败。通过此更新，加载路径不再存储在 i386 架构上的副本中。

此更新还添加了以下增强：

- 通过此更新，SystemTap 探测已添加到 ruby 程序包。

建议所有 ruby 用户升级这些更新后的程序包，其中解决了这些问题并添加此项增强。