Oracle Solaris 第三方修补程序更新：ruby (cve_2013_4073_cryptographic_issues)

medium Nessus 插件 ID 80755

语言：

简介

远程 Solaris 系统缺少第三方软件的安全修补程序。

描述

远程 Solaris 系统缺少用于处理安全更新的必要修补程序：

- Ruby 1.8.6 至 1.8.6-420、1.8.7 至 1.8.7-330 以及 1.8.8dev 中的安全级功能允许上下文有关的攻击者通过 Exception#to_s 方法修改字符串，这一点已通过更改预期路径名证实。(CVE-2011-1005)

- Ruby 1.8.7 中的安全级功能允许上下文有关的攻击者在操作 Ruby 对象时通过 NameError#to_s 方法修改字符串。
注意：此问题的原因是对 CVE-2011-1005 的修复不完整。(CVE-2012-4481)

- 在低于 1.8.7-p374 的 Ruby 1.8、低于 1.9.3-p448 的 Ruby 1.9 以及低于 2.0.0-p247 的 Ruby 2.0 中，lib/openssl/ssl.rb 中的 OpenSSL::SSL.verify_certificate_identity 函数未正确处理 X.509 证书的“主题备用名称”字段的域名中的“\0”字符，这允许中间人攻击者通过由合法证书颁发机构颁发的构建证书欺骗任意 SSL 服务器，此问题与 CVE-2009-2408 相关。(CVE-2013-4073)