Ruby是一種可擴展的，解釋性的，面向?qū)ο蟮哪_本語言它具有處理文本文件和執(zhí)行系統(tǒng)管理任務(wù)的功能日前，RedHat發(fā)布了安全更新，修復了紅帽Ruby腳本語言中發(fā)現(xiàn)的任意代碼執(zhí)行等重要漏洞

漏洞詳情

1.CVE—2020—36327 CVSS評分:8.8 嚴重程度:高

在安裝受源限制的gem包的依賴項時，Bundler 確定源存儲庫的方式存在漏洞在使用多個gem存儲庫并明確定義要從哪個源存儲庫安裝某些 gem 的配置中，如果該存儲庫提供了更高版本的包，則可以從不同的源安裝受源限制的gem的依賴項這可能導致安裝惡意gem版本和執(zhí)行任意代碼

2.CVE—2019—16255 CVSS評分:8.1 嚴重程度:中

Ruby 到 2.4.7，2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 允許代碼注入，如果第一個參數(shù)到 Shell# 或 Shell#test 在 lib/shell .rb 是不受信任的數(shù)據(jù)攻擊者可以利用它來調(diào)用任意 Ruby 方法

3.CVE—2020—25613 CVSS評分:7.5 嚴重程度:中

4.CVE—2019—16201 CVSS評分:7.5 嚴重程度:中

5.CVE—2021—41817 CVSS評分:7.5 嚴重程度:中

在 ruby 中發(fā)現(xiàn)了一個漏洞，發(fā)現(xiàn)日期對象在解析日期期間容易受到正則表達式拒絕服務(wù) 的攻擊此漏洞允許攻擊者通過提供特制的日期字符串來掛起 ruby 應(yīng)用程序此漏洞的最大威脅是系統(tǒng)可用性

受影響產(chǎn)品和版本

Red Hat Enterprise Linux for x86_64 — Extended Update Support 8.2 x86_64

Red Hat Enterprise Linux Server — AUS 8.2 x86_64

Red Hat Enterprise Linux for IBM z Systems — Extended Update Support 8.2 s390x

Red Hat Enterprise Linux for Power， little endian — Extended Update Support 8.2 ppc64le

Red Hat Enterprise Linux Server — TUS 8.2 x86_64

Red Hat Enterprise Linux for ARM 64 — Extended Update Support 8.2 aarch64

Red Hat Enterprise Linux Server — Update Services for SAP Solutions 8.2 ppc64leRed Hat Enterprise Linux Server — Update Services for SAP Solutions 8.2 x86_64

解決方案

ruby:2.6 模塊的更新現(xiàn)在可用于 Red Hat Enterprise Linux 8.2 擴展更新支持。

有關(guān)如何應(yīng)用此更新的詳細信息，請參閱:

電子政務(wù)行業(yè)主要上市公司：目前，國內(nèi)電子政務(wù)行業(yè)上市公司主要有榕基軟件，Inspur軟件(600756)，華宇軟件(300271)，九旗軟件(002279)，南威軟件(603606)，東華軟件(002065)等。

鄭重聲明：此文內(nèi)容為本網(wǎng)站轉(zhuǎn)載企業(yè)宣傳資訊，目的在于傳播更多信息，與本站立場無關(guān)。僅供讀者參考，并請自行核實相關(guān)內(nèi)容。