當前位置：首頁 > 科技 > 知識百科

云安全日報220222: 紅帽Ruby腳本語言發現任意代碼執行漏洞，需要盡快升級

來源：責編：時間：2023-08-07 16:29:55 263觀看

導讀 Ruby是一種可擴展的、解釋性的、面向對象的腳本語言。它具有處理文本文件和執行系統管理任務的功能。8月5日,RedHat發布了安全更新，修復了紅帽Ruby腳本語言中發現的任意代碼

Ruby是一種可擴展的、解釋性的、面向對象的腳本語言。它具有處理文本文件和執行系統管理任務的功能。8月5日,RedHat發布了安全更新，修復了紅帽Ruby腳本語言中發現的任意代碼執行等重要漏洞。以下是漏洞詳情：

漏洞詳情

來源：https://access.redhat.com/errata/RHSA-2022:0582

1.CVE-2020-36327 CVSS評分：8.8 嚴重程度：高

在安裝受源限制的gem包的依賴項時，Bundler 確定源存儲庫的方式存在漏洞。在使用多個gem存儲庫并明確定義要從哪個源存儲庫安裝某些 gem 的配置中，如果該存儲庫提供了更高版本的包，則可以從不同的源安裝受源限制的gem的依賴項。這可能導致安裝惡意gem版本和執行任意代碼。

2.CVE-2019-16255 CVSS評分：8.1 嚴重程度：中

Ruby 到 2.4.7、2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 允許代碼注入，如果第一個參數（又名“命令”參數）到 Shell#[] 或 Shell#test 在 lib/shell .rb 是不受信任的數據。攻擊者可以利用它來調用任意 Ruby 方法。

3.CVE-2020-25613 CVSS評分：7.5 嚴重程度：中

在 Ruby 2.5.8、2.6.x 到 2.6.6 和 2.7.x 到 2.7.1 中發現了一個問題。WEBrick 是一個與 Ruby 捆綁在一起的簡單 HTTP 服務器，它沒有嚴格檢查傳輸編碼標頭值。攻擊者可能會利用此問題繞過反向代理（其標頭檢查也很差），這可能導致 HTTP 請求走私攻擊。

4.CVE-2019-16201 CVSS評分：7.5 嚴重程度：中

Ruby 中的 WEBrick::HTTPAuth::DigestAuth 到 2.4.7、2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 有一個正則表達式拒絕服務，原因是循環/回溯。受害者必須將使用 DigestAuth 的 WEBrick 服務器暴露給 Internet 或不受信任的網絡。

5.CVE-2021-41817 CVSS評分：7.5 嚴重程度：中

在 ruby 中發現了一個漏洞，發現日期對象在解析日期期間容易受到正則表達式拒絕服務 (ReDoS) 的攻擊。此漏洞允許攻擊者通過提供特制的日期字符串來掛起 ruby 應用程序。此漏洞的最大威脅是系統可用性。

受影響產品和版本

Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.2 x86_64

Red Hat Enterprise Linux Server - AUS 8.2 x86_64

Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 8.2 s390x

Red Hat Enterprise Linux for Power, little endian - Extended Update Support 8.2 ppc64le

Red Hat Enterprise Linux Server - TUS 8.2 x86_64

Red Hat Enterprise Linux for ARM 64 - Extended Update Support 8.2 aarch64

Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 8.2 ppc64leRed Hat Enterprise Linux Server - Update Services for SAP Solutions 8.2 x86_64

解決方案

ruby:2.6 模塊的更新現在可用于 Red Hat Enterprise Linux 8.2 擴展更新支持。

有關如何應用此更新的詳細信息（包括此通報中描述的更改），請參閱：

https://access.redhat.com/articles/11258

查看更多漏洞信息以及升級請訪問官網：

https://access.redhat.com/security/security-updates/#/security-advisories

本文鏈接：http://www.www897cc.com/showinfo-119-2170-0.html云安全日報220222: 紅帽Ruby腳本語言發現任意代碼執行漏洞，需要盡快升級

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇：谷歌AI一次注釋了10%的已知蛋白質序列，超過人類十年研究成果

下一篇： Kubernetes的高級部署策略集譯文

標簽：

熱門焦點

Find N3入網：最高支持16+1TB

OPPO將于近期登場的Find N3折疊屏目前已經正式入網，型號為PHN110。本次Find N3在外觀方面相比前兩代有很大的變化，不再是小號的橫向折疊屏，而是跟別的廠商一樣采用了較為常見的
石頭自清潔掃拖機器人G10S評測：多年黑科技集大成之作懶人終極福音

科技圈經常能看到一個詞叫“縫合怪”，用來形容那些把好多功能或者外觀結合在一起的產品，通常這樣的詞是貶義詞，但如果真的是產品縫合的好、縫合的實用的話，那它就成了中性詞，今
5月iOS設備性能榜：M1 M2依舊是榜單前五

和上個月一樣，沒有新品發布的iOS設備性能榜的上榜設備并沒有什么更替，僅僅只有跑分變化而產生的排名變動，剛剛開始的蘋果WWDC2023，推出的產品也依舊是新款Mac Pro、新款Mac Stu
.NET 程序的 GDI 句柄泄露的再反思

一、背景1. 講故事上個月我寫過一篇如何洞察 C# 程序的 GDI 句柄泄露文章，當時用的是 GDIView + WinDbg 把問題搞定，前者用來定位泄露資源，后者用來定位泄露代碼，后面有朋友反
認真聊聊東方甄選：如何告別低垂的果實

來源：山核桃作者：財經無忌爆火一年后，俞敏洪和他的東方甄選依舊是頗受外界關心的“網紅”。7月5日至9日，為期5天的東方甄選“甘肅行”首次在自有App內直播，
OPPO、vivo、小米等國內廠商Q2在印度智能手機市場份額依舊高達55%

7月20日消息，據外媒報道，研究機構的報告顯示，在全球智能手機出貨量同比仍在下滑的大背景下，印度這一有潛力的市場也未能幸免，出貨量同比也有下滑，多家廠
三星推出Galaxy Tab S9系列平板電腦以及Galaxy Watch6系列智能手表

2023年7月26日，三星電子正式發布了Galaxy Z Flip5與Galaxy Z Fold5。除此之外，Galaxy Tab S9系列平板電腦以及三星Galaxy Watch6系列智能手表也同期
三星Galaxy Z Fold/Flip 5國行售價曝光：最低7499元/12999元起

據官方此前宣布，三星將于7月26日也就是明天在韓國首爾舉辦Unpacked活動，屆時將帶來帶來包括Galaxy Buds 3、Galaxy Watch 6、Galaxy Tab S9、Galaxy
iQOO Neo8系列或定檔5月23日：首發天璣9200+ 安卓跑分王者

去年10月，iQOO推出了iQOO Neo7系列機型，不僅搭載了天璣9000+，而且是同價位唯一一款天璣9000+直屏旗艦，一經上市便受到了用戶的廣泛關注。在時隔半年后，

日韩成人免费在线_国产成人一二_精品国产免费人成电影在线观..._日本一区二区三区久久久久久久久不

云安全日報220222: 紅帽Ruby腳本語言發現任意代碼執行漏洞，需要盡快升級

Find N3入網：最高支持16+1TB

石頭自清潔掃拖機器人G10S評測：多年黑科技集大成之作懶人終極福音

5月iOS設備性能榜：M1 M2依舊是榜單前五

.NET 程序的 GDI 句柄泄露的再反思

認真聊聊東方甄選：如何告別低垂的果實

OPPO、vivo、小米等國內廠商Q2在印度智能手機市場份額依舊高達55%

三星推出Galaxy Tab S9系列平板電腦以及Galaxy Watch6系列智能手表

三星Galaxy Z Fold/Flip 5國行售價曝光：最低7499元/12999元起

iQOO Neo8系列或定檔5月23日：首發天璣9200+ 安卓跑分王者

最新推薦

猜你喜歡

熱門推薦

相關資訊