Ruby是一種可擴(kuò)展的，解釋性的，面向?qū)ο蟮哪_本語(yǔ)言它具有處理文本文件和執(zhí)行系統(tǒng)管理任務(wù)的功能日前，RedHat發(fā)布了安全更新，修復(fù)了紅帽Ruby腳本語(yǔ)言中發(fā)現(xiàn)的任意代碼執(zhí)行等重要漏洞

漏洞詳情

1.CVE—2020—36327 CVSS評(píng)分:8.8 嚴(yán)重程度:高

在安裝受源限制的gem包的依賴項(xiàng)時(shí)，Bundler 確定源存儲(chǔ)庫(kù)的方式存在漏洞在使用多個(gè)gem存儲(chǔ)庫(kù)并明確定義要從哪個(gè)源存儲(chǔ)庫(kù)安裝某些 gem 的配置中，如果該存儲(chǔ)庫(kù)提供了更高版本的包，則可以從不同的源安裝受源限制的gem的依賴項(xiàng)這可能導(dǎo)致安裝惡意gem版本和執(zhí)行任意代碼

2.CVE—2019—16255 CVSS評(píng)分:8.1 嚴(yán)重程度:中

Ruby 到 2.4.7，2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 允許代碼注入，如果第一個(gè)參數(shù)到 Shell# 或 Shell#test 在 lib/shell .rb 是不受信任的數(shù)據(jù)攻擊者可以利用它來(lái)調(diào)用任意 Ruby 方法

3.CVE—2020—25613 CVSS評(píng)分:7.5 嚴(yán)重程度:中

4.CVE—2019—16201 CVSS評(píng)分:7.5 嚴(yán)重程度:中

5.CVE—2021—41817 CVSS評(píng)分:7.5 嚴(yán)重程度:中

在 ruby 中發(fā)現(xiàn)了一個(gè)漏洞，發(fā)現(xiàn)日期對(duì)象在解析日期期間容易受到正則表達(dá)式拒絕服務(wù) 的攻擊此漏洞允許攻擊者通過(guò)提供特制的日期字符串來(lái)掛起 ruby 應(yīng)用程序此漏洞的最大威脅是系統(tǒng)可用性

受影響產(chǎn)品和版本

Red Hat Enterprise Linux for x86_64 — Extended Update Support 8.2 x86_64

Red Hat Enterprise Linux Server — AUS 8.2 x86_64

Red Hat Enterprise Linux for IBM z Systems — Extended Update Support 8.2 s390x

Red Hat Enterprise Linux for Power， little endian — Extended Update Support 8.2 ppc64le

Red Hat Enterprise Linux Server — TUS 8.2 x86_64

Red Hat Enterprise Linux for ARM 64 — Extended Update Support 8.2 aarch64

Red Hat Enterprise Linux Server — Update Services for SAP Solutions 8.2 ppc64leRed Hat Enterprise Linux Server — Update Services for SAP Solutions 8.2 x86_64

解決方案

ruby:2.6 模塊的更新現(xiàn)在可用于 Red Hat Enterprise Linux 8.2 擴(kuò)展更新支持。

有關(guān)如何應(yīng)用此更新的詳細(xì)信息，請(qǐng)參閱:

電子政務(wù)行業(yè)主要上市公司：目前，國(guó)內(nèi)電子政務(wù)行業(yè)上市公司主要有榕基軟件，Inspur軟件(600756)，華宇軟件(300271)，九旗軟件(002279)，南威軟件(603606)，東華軟件(002065)等。

鄭重聲明：此文內(nèi)容為本網(wǎng)站轉(zhuǎn)載企業(yè)宣傳資訊，目的在于傳播更多信息，與本站立場(chǎng)無(wú)關(guān)。僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。