云安全日报220222:红帽Ruby脚本语言发现任意代码执行漏洞,需要尽
Ruby是一种可扩展的,解释性的,面向对象的脚本语言它具有处理文本文件和执行系统管理任务的功能日前,RedHat发布了安全更新,修复了红帽Ruby脚本语言中发现的任意代码执行等重要漏洞
漏洞详情
1.CVE—2020—36327 CVSS评分:8.8 严重程度:高
在安装受源限制的gem包的依赖项时,Bundler 确定源存储库的方式存在漏洞在使用多个gem存储库并明确定义要从哪个源存储库安装某些 gem 的配置中,如果该存储库提供了更高版本的包,则可以从不同的源安装受源限制的gem的依赖项这可能导致安装恶意gem版本和执行任意代码
2.CVE—2019—16255 CVSS评分:8.1 严重程度:中
Ruby 到 2.4.7,2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 允许代码注入,如果第一个参数到 Shell# 或 Shell#test 在 lib/shell .rb 是不受信任的数据攻击者可以利用它来调用任意 Ruby 方法
3.CVE—2020—25613 CVSS评分:7.5 严重程度:中
4.CVE—2019—16201 CVSS评分:7.5 严重程度:中
5.CVE—2021—41817 CVSS评分:7.5 严重程度:中
在 ruby 中发现了一个漏洞,发现日期对象在解析日期期间容易受到正则表达式拒绝服务 的攻击此漏洞允许攻击者通过提供特制的日期字符串来挂起 ruby 应用程序此漏洞的最大威胁是系统可用性
受影响产品和版本
Red Hat Enterprise Linux for x86_64 — Extended Update Support 8.2 x86_64
Red Hat Enterprise Linux Server — AUS 8.2 x86_64
Red Hat Enterprise Linux for IBM z Systems — Extended Update Support 8.2 s390x
Red Hat Enterprise Linux for Power, little endian — Extended Update Support 8.2 ppc64le
Red Hat Enterprise Linux Server — TUS 8.2 x86_64
Red Hat Enterprise Linux for ARM 64 — Extended Update Support 8.2 aarch64
Red Hat Enterprise Linux Server — Update Services for SAP Solutions 8.2 ppc64leRed Hat Enterprise Linux Server — Update Services for SAP Solutions 8.2 x86_64
解决方案
ruby:2.6 模块的更新现在可用于 Red Hat Enterprise Linux 8.2 扩展更新支持。
有关如何应用此更新的详细信息,请参阅:
本文核心数据为:中国政务微博结构,政府机构官方微博数量,各省政务微博竞争力。
声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。
声明:
1、此文内容为本网站刊发或转载企业宣传资讯,仅代表作者个人观点,供读者参考。
2、搜讯网所转载的稿件都会明确标注作者和来源,如您不希望被转载请及时与我们联系删除。
3、搜讯网的原创文章,请转载时务必注明文章作者和"来源:搜讯网",不尊重原创的行为搜讯网或将追究责任。
4、本站提供的图文仅供参考,不能作为任何咨询依据,专业问题请咨询专业人士,谨防受骗。
搭2.0T高功率星途揽月400T将于9月30日上市
中国最柔软女孩,非她莫属!
“我不打扰你,亲亲我就走”简单一句话,感动无数人!
-
你们的笑,就是全部的意义
8月4日上午,2018华夏银行IRONMAN70.3...
-
这些巨星为何纹身?詹姆斯奥胖
在竞技体育中,有纹身的运动员不在少数,他们可以通过这...
-
路威中国行穿“大腿”T恤,哈
今天,快船队的路易斯-威廉姆斯在个人社交媒体上发布了...
-
公交人细心照顾走失儿童父母赠
图片说明:走失男孩的父亲为热心公交人送上水果表达谢意...
-
“专业代写,童叟无欺”55元
网上代写作业“明码标价”。/晨报记者张佳琪网上代写作...