检测

FreeBSD:ruby -- 插入非法 NUL 字符造成无意文件创建 (3decc87d-2498-11e2-b0c7-000d601460a4)

medium Nessus 插件 ID 62792

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

官方 Ruby 站点报告:

发现存在一个漏洞,文件创建例程通过在文件路径中战略性插入 NUL 可创建非预期的文件。此漏洞已报告为 CVE-2012-4522。

Ruby 可将任意二进制模式处理为字符串,包括 NUL 字符。另一方面,OSes 及其他库通常不会如此处理。它们通常将 NUL 视为“字符串结束”标记。因此要将它们与 Ruby 连接,应正确避免 NUL 字符。

但像 IO#open 这种方法不检查传递给它们的文件名,而只是将这些字符串传递到更低层的例程。这导致创建意外文件。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?d494f86f

https://access.redhat.com/security/cve/cve-2012-4522

http://www.nessus.org/u?beb35305

插件详情

严重性: Medium

ID: 62792

文件名: freebsd_pkg_3decc87d249811e2b0c7000d601460a4.nasl

版本: 1.10

类型: local

发布时间: 2012/11/2

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:ruby, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/11/1

漏洞发布日期: 2012/10/12

参考资料信息

CVE: CVE-2012-4522