云安全日报220222:红帽Ruby脚本语言发现任意代码执行漏洞，需要尽

Ruby是一种可扩展的，解释性的，面向对象的脚本语言它具有处理文本文件和执行系统管理任务的功能日前，RedHat发布了安全更新，修复了红帽Ruby脚本语言中发现的任意代码执行等重要漏洞

漏洞详情

1.CVE—2020—36327 CVSS评分:8.8 严重程度:高

在安装受源限制的gem包的依赖项时，Bundler 确定源存储库的方式存在漏洞在使用多个gem存储库并明确定义要从哪个源存储库安装某些 gem 的配置中，如果该存储库提供了更高版本的包，则可以从不同的源安装受源限制的gem的依赖项这可能导致安装恶意gem版本和执行任意代码

2.CVE—2019—16255 CVSS评分:8.1 严重程度:中

Ruby 到 2.4.7，2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 允许代码注入，如果第一个参数到 Shell# 或 Shell#test 在 lib/shell .rb 是不受信任的数据攻击者可以利用它来调用任意 Ruby 方法

3.CVE—2020—25613 CVSS评分:7.5 严重程度:中

4.CVE—2019—16201 CVSS评分:7.5 严重程度:中

5.CVE—2021—41817 CVSS评分:7.5 严重程度:中

在 ruby 中发现了一个漏洞，发现日期对象在解析日期期间容易受到正则表达式拒绝服务 的攻击此漏洞允许攻击者通过提供特制的日期字符串来挂起 ruby 应用程序此漏洞的最大威胁是系统可用性

受影响产品和版本

Red Hat Enterprise Linux for x86_64 — Extended Update Support 8.2 x86_64

Red Hat Enterprise Linux Server — AUS 8.2 x86_64

Red Hat Enterprise Linux for IBM z Systems — Extended Update Support 8.2 s390x

Red Hat Enterprise Linux for Power， little endian — Extended Update Support 8.2 ppc64le

Red Hat Enterprise Linux Server — TUS 8.2 x86_64

Red Hat Enterprise Linux for ARM 64 — Extended Update Support 8.2 aarch64

Red Hat Enterprise Linux Server — Update Services for SAP Solutions 8.2 ppc64leRed Hat Enterprise Linux Server — Update Services for SAP Solutions 8.2 x86_64

解决方案

ruby:2.6 模块的更新现在可用于 Red Hat Enterprise Linux 8.2 扩展更新支持。

有关如何应用此更新的详细信息，请参阅:

本文核心数据为：中国政务微博结构，政府机构官方微博数量，各省政务微博竞争力。

声明：本网转发此文章，旨在为读者提供更多信息资讯，所涉内容不构成投资、消费建议。文章事实如有疑问，请与有关方核实，文章观点非本网观点，仅供读者参考。