K60至尊版狂暴引擎2.0加持:超177萬(wàn)跑分?jǐn)孬@性能第一
Redmi的后性能時(shí)代戰(zhàn)略發(fā)布會(huì)今天下午如期舉辦,在本次發(fā)布會(huì)上,Redmi公布了多項(xiàng)關(guān)于和聯(lián)發(fā)科的深度合作,以及新機(jī)K60 Ultra在軟件和硬件方面的特性,例如:“K60 至尊版,雙芯旗艦
Ruby是一種可擴(kuò)展的、解釋性的、面向?qū)ο蟮哪_本語(yǔ)言。它具有處理文本文件和執(zhí)行系統(tǒng)管理任務(wù)的功能。8月5日,RedHat發(fā)布了安全更新,修復(fù)了紅帽Ruby腳本語(yǔ)言中發(fā)現(xiàn)的任意代碼執(zhí)行等重要漏洞。以下是漏洞詳情:
漏洞詳情
來(lái)源:https://access.redhat.com/errata/RHSA-2022:0708
1.CVE-2020-36327 CVSS評(píng)分:8.8 嚴(yán)重程度:高
在安裝受源限制的gem包的依賴項(xiàng)時(shí),Bundler 確定源存儲(chǔ)庫(kù)的方式存在漏洞。在使用多個(gè)gem存儲(chǔ)庫(kù)并明確定義要從哪個(gè)源存儲(chǔ)庫(kù)安裝某些 gem 的配置中,如果該存儲(chǔ)庫(kù)提供了更高版本的包,則可以從不同的源安裝受源限制的gem的依賴項(xiàng)。這可能導(dǎo)致安裝惡意gem版本和執(zhí)行任意代碼。
2.CVE-2021-41817 CVSS評(píng)分:7.5 嚴(yán)重程度:中
在 ruby 中發(fā)現(xiàn)了一個(gè)漏洞,發(fā)現(xiàn)日期對(duì)象在解析日期期間容易受到正則表達(dá)式拒絕服務(wù) (ReDoS) 的攻擊。此漏洞允許攻擊者通過提供特制的日期字符串來(lái)掛起 ruby 應(yīng)用程序。此漏洞的最大威脅是系統(tǒng)可用性。
3.CVE-2021-41819 CVSS評(píng)分:7.5 嚴(yán)重程度:中
Ruby 到 2.6.8 中的 CGI::Cookie.parse 錯(cuò)誤處理 cookie 名稱中的安全前綴。這也通過 Ruby 的 0.3.0 影響了 CGI gem。
4.CVE-2021-32066 CVSS評(píng)分:7.4 嚴(yán)重程度:中
Ruby 的 Net::IMAP 模塊在收到對(duì) STARTTLS 命令的意外響應(yīng)并且連接未升級(jí)為使用 TLS 時(shí)沒有引發(fā)異常。中間人攻擊者可以利用此漏洞阻止 Ruby 應(yīng)用程序使用 Net::IMAP 為與 IMAP 服務(wù)器的連接啟用 TLS 加密,然后竊聽或修改通過純文本連接發(fā)送的數(shù)據(jù)。
5.CVE-2021-31799 CVSS評(píng)分:7.0 嚴(yán)重程度:中
在 RDoc 中發(fā)現(xiàn)了一個(gè)操作系統(tǒng)命令注入漏洞。使用 rdoc 命令為惡意 Ruby 源代碼生成文檔可能會(huì)導(dǎo)致以運(yùn)行 rdoc 的用戶的權(quán)限執(zhí)行任意命令。
受影響產(chǎn)品和版本
Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64
Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7 s390x
Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7 ppc64le
Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64
解決方案
rh-ruby26-ruby 的更新現(xiàn)在可用于 Red Hat Software Collections。
有關(guān)如何應(yīng)用此更新的詳細(xì)信息(包括此通報(bào)中描述的更改),請(qǐng)參閱:
https://access.redhat.com/articles/11258
查看更多漏洞信息 以及升級(jí)請(qǐng)?jiān)L問官網(wǎng):
https://access.redhat.com/security/security-updates/#/security-advisories
本文鏈接:http://www.www897cc.com/showinfo-119-2195-0.html云安全日?qǐng)?bào)220301: 紅帽Ruby腳本語(yǔ)言發(fā)現(xiàn)任意代碼執(zhí)行漏洞,需要盡快升級(jí)
聲明:本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。郵件:2376512515@qq.com
上一篇: 一篇帶給你Tekton系列之安裝篇
Copyright ? 2016-2023 天津谷騏科技有限公司 版權(quán)所有 sitemap.xml
違法及侵權(quán)請(qǐng)聯(lián)系:2376512515@qq.com 津ICP備18001702號(hào)
津公網(wǎng)安備 12010102000574號(hào)