安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
红帽Ruby脚本语言发现任意代码执行漏洞,需要尽快升级
2022-03-02 11:16:54 【

Ruby是一种可扩展的、解释性的、面向对象的脚本语言。它具有处理文本文件和执行系统管理任务的功能。8月5日,RedHat发布了安全更新,修复了红帽Ruby脚本语言中发现的任意代码执行等重要漏洞。以下是漏洞详情:

漏洞详情


1.CVE-2020-36327 CVSS评分:8.8 严重程度:高

在安装受源限制的gem包的依赖项时,Bundler 确定源存储库的方式存在漏洞。在使用多个gem存储库并明确定义要从哪个源存储库安装某些 gem 的配置中,如果该存储库提供了更高版本的包,则可以从不同的源安装受源限制的gem的依赖项。这可能导致安装恶意gem版本和执行任意代码。

2.CVE-2021-41817 CVSS评分:7.5 严重程度:中

在 ruby 中发现了一个漏洞,发现日期对象在解析日期期间容易受到正则表达式拒绝服务 (ReDoS) 的攻击。此漏洞允许攻击者通过提供特制的日期字符串来挂起 ruby 应用程序。此漏洞的最大威胁是系统可用性。

3.CVE-2021-41819 CVSS评分:7.5 严重程度:中

Ruby 到 2.6.8 中的 CGI::Cookie.parse 错误处理 cookie 名称中的安全前缀。这也通过 Ruby 的 0.3.0 影响了 CGI gem。

4.CVE-2021-32066 CVSS评分:7.4 严重程度:中

Ruby 的 Net::IMAP 模块在收到对 STARTTLS 命令的意外响应并且连接未升级为使用 TLS 时没有引发异常。中间人攻击者可以利用此漏洞阻止 Ruby 应用程序使用 Net::IMAP 为与 IMAP 服务器的连接启用 TLS 加密,然后窃听或修改通过纯文本连接发送的数据。

5.CVE-2021-31799 CVSS评分:7.0 严重程度:中

在 RDoc 中发现了一个操作系统命令注入漏洞。使用 rdoc 命令为恶意 Ruby 源代码生成文档可能会导致以运行 rdoc 的用户的权限执行任意命令。

受影响产品和版本

Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64

Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7 s390x

Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7 ppc64le

Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇wordpress网站漏洞防护办法 下一篇2021漏洞态势报告:重点漏洞数量..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800