检测

openSUSE 安全更新:RubyOnRails (openSUSE-SU-2013:0338-1)

critical Nessus 插件 ID 74900

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

Ruby on Rails 2.3 堆栈已更新到 2.3.17。Ruby on Rails 3.2 堆栈已更新到 3.2.12。

Ruby Rack 更新到 1.1.6。Ruby Rack 更新到 1.2.8。Ruby Rack 更新到 1.3.10。Ruby Rack 更新到 1.4.5。

这些更新修复了各种安全问题和缺陷。

- 更新到版本 2.3.17(bnc#803336、bnc#803339)CVE-2013-0276 CVE-2013-0277:

- 更新到版本 3.2.12 (bnc#803336) CVE-2013-0276:

- 更新到版本 3.2.12 (bnc#803336) CVE-2013-0276:
attr_protected 的问题,畸形输入可避开保护

- 更新到版本 2.3.17(bnc#803336、bnc#803339)CVE-2013-0276 CVE-2013-0277:

- 修复 attr_protected 的问题,其中畸形输入可以避开保护

- 修复已序列化的属性 YAML 漏洞

- 更新到版本 2.3.17(bnc#803336、bnc#803339)CVE-2013-0276 CVE-2013-0277:

- 修复 attr_protected 的问题,其中畸形输入可以避开保护

- 修复已序列化的属性 YAML 漏洞

- 更新到版本 3.2.12 (bnc#803336) CVE-2013-0276:

- 将配额数值与非数值列进行对比。否则在某些数据库中,字符串列的值将被强制变成允许 0、0.0 或假的数值,从而与以非数字开头的任何字符串相匹配。

- 更新到 1.1.6 (bnc#802794)

- 修复了 CVE-2013-0263,针对 Rack::Session::Cookie 的时序攻击

- 更新到 1.2.8 (bnc#802794)

- 修复了 CVE-2013-0263,针对 Rack::Session::Cookie 的时序攻击

- 更新到 1.3.10 (bnc#802794)

- 修复了 CVE-2013-0263,针对 Rack::Session::Cookie 的时序攻击

- ruby rack 更新到 1.4.5 (bnc#802794 bnc#802795)

- 修复了 CVE-2013-0263,针对 Rack::Session::Cookie 的时序攻击

- 修复 CVE-2013-0262,Rack::File 中的符号链接路径遍历

- ruby rack 更新到 1.4.4 (bnc#798452)

- [SEC] Rack::Auth::AbstractRequest 不再代表任意字符串 (CVE-2013-0184)

- ruby rack 自 1.4.3 的更改

- Security:避免大型多部分边界中未限制边界的读取 (CVE-2013-0183)

- ruby rack 自 1.4.2 的更改 (CVE-2012-6109)

- 添加当用户没有提供会话秘钥时的警告

- 修复对无引号的文件名的解析性能

- 更新了 URI 向后移植

- 修复 URI 向后移植版本匹配,并静默固定警告

- 修正空值的参数解析

- 修正 rackup“-I”标记,从而允许多种用途

- 修正 rackup pidfile 处理

- 正确报告 rackup 行编号

- 修复由具有时间限制的非过时临时信息引起的请求循环

- 修复 Windows 上的复载器

- 避免 Response#to_ary 引起的无限递归

- 各种中间件更加符合正文结束规范

- 更新了正文结束规范的语言

- 有关 ECMA 转义兼容性问题的其他注意事项

- 修复对 range 标头中多种范围的解析

- 避免空参数键值引起的错误

- 将 PATCH 动词添加至 Rack::Request

- 各种文档更新

- 修复会话合并语义(修复 rack-test)

- Rack::Static :index 现在可处理多个目录

- 所有测试现在使用 Rack::Lint(特别感谢 Lars Gierth)

- Rack::File cache_control 参数现在已弃用,并在 1.5 中删除

- 修正 Rack::Directory 脚本名称转义

- Rack::Static 支持用于成熟配置的标头规则

- 现在执行多部分解析时不需要 Content-Length 标头

- Zachary Scott 提供了新徽标

- Rack::BodyProxy 现在明确定义了对 C 扩展有用的 #each

- 未进行 URI 转义的 Cookie 不再引起异常

解决方案

更新受影响的 RubyOnRails 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=798452

https://bugzilla.novell.com/show_bug.cgi?id=802794

https://bugzilla.novell.com/show_bug.cgi?id=802795

https://bugzilla.novell.com/show_bug.cgi?id=803336

https://bugzilla.novell.com/show_bug.cgi?id=803339

https://lists.opensuse.org/opensuse-updates/2013-02/msg00071.html

插件详情

严重性: Critical

ID: 74900

文件名: openSUSE-2013-152.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:rubygem-actionpack-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-actionpack, p-cpe:/a:novell:opensuse:rubygem-activeresource-3_2, p-cpe:/a:novell:opensuse:rubygem-activerecord-3_2, p-cpe:/a:novell:opensuse:rubygem-actionmailer, p-cpe:/a:novell:opensuse:rubygem-rack-1_1, p-cpe:/a:novell:opensuse:rubygem-activerecord-2_3, cpe:/o:novell:opensuse:12.1, p-cpe:/a:novell:opensuse:rubygem-rack-1_2, p-cpe:/a:novell:opensuse:rubygem-rack-1_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-activeresource, p-cpe:/a:novell:opensuse:rubygem-rack-1_4-testsuite, p-cpe:/a:novell:opensuse:rubygem-activerecord, p-cpe:/a:novell:opensuse:rubygem-activerecord-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-activemodel-3_2, p-cpe:/a:novell:opensuse:rubygem-rack-1_4, p-cpe:/a:novell:opensuse:rubygem-actionmailer-3_2, p-cpe:/a:novell:opensuse:rubygem-rails-2_3, p-cpe:/a:novell:opensuse:rubygem-actionpack-2_3, p-cpe:/a:novell:opensuse:rubygem-activeresource-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-actionmailer-2_3, p-cpe:/a:novell:opensuse:rubygem-rails-3_2, p-cpe:/a:novell:opensuse:rubygem-activesupport-2_3, p-cpe:/a:novell:opensuse:rubygem-activeresource-2_3, p-cpe:/a:novell:opensuse:rubygem-rack-1_2-testsuite, p-cpe:/a:novell:opensuse:rubygem-activesupport, p-cpe:/a:novell:opensuse:rubygem-rack-1_1-testsuite, p-cpe:/a:novell:opensuse:rubygem-railties-3_2, p-cpe:/a:novell:opensuse:rubygem-rack-1_3, p-cpe:/a:novell:opensuse:rubygem-actionpack-3_2, cpe:/o:novell:opensuse:12.2, p-cpe:/a:novell:opensuse:rubygem-rails, p-cpe:/a:novell:opensuse:rubygem-actionmailer-2_3-testsuite, p-cpe:/a:novell:opensuse:rubygem-activesupport-3_2

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2013/2/14

参考资料信息

CVE: CVE-2012-6109, CVE-2013-0183, CVE-2013-0184, CVE-2013-0262, CVE-2013-0263, CVE-2013-0276, CVE-2013-0277