云安全日报220222: 红帽Ruby脚本语言发现任意代码执行漏洞，需要尽快升级

Ruby是一种可扩展的、解释性的、面向对象的脚本语言。它具有处理文本文件和执行系统管理任务的功能。8月5日,RedHat发布了安全更新，修复了红帽Ruby脚本语言中发现的任意代码执行等重要漏洞。以下是漏洞详情：poo28资讯网——每日最新资讯28at.com

漏洞详情poo28资讯网——每日最新资讯28at.com

来源：https://access.redhat.com/errata/RHSA-2022:0582poo28资讯网——每日最新资讯28at.com

1.CVE-2020-36327 CVSS评分：8.8 严重程度：高poo28资讯网——每日最新资讯28at.com

在安装受源限制的gem包的依赖项时，Bundler 确定源存储库的方式存在漏洞。在使用多个gem存储库并明确定义要从哪个源存储库安装某些 gem 的配置中，如果该存储库提供了更高版本的包，则可以从不同的源安装受源限制的gem的依赖项。这可能导致安装恶意gem版本和执行任意代码。poo28资讯网——每日最新资讯28at.com

2.CVE-2019-16255 CVSS评分：8.1 严重程度：中poo28资讯网——每日最新资讯28at.com

Ruby 到 2.4.7、2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 允许代码注入，如果第一个参数（又名“命令”参数）到 Shell#[] 或 Shell#test 在 lib/shell .rb 是不受信任的数据。攻击者可以利用它来调用任意 Ruby 方法。poo28资讯网——每日最新资讯28at.com

3.CVE-2020-25613 CVSS评分：7.5 严重程度：中poo28资讯网——每日最新资讯28at.com

在 Ruby 2.5.8、2.6.x 到 2.6.6 和 2.7.x 到 2.7.1 中发现了一个问题。WEBrick 是一个与 Ruby 捆绑在一起的简单 HTTP 服务器，它没有严格检查传输编码标头值。攻击者可能会利用此问题绕过反向代理（其标头检查也很差），这可能导致 HTTP 请求走私攻击。poo28资讯网——每日最新资讯28at.com

4.CVE-2019-16201 CVSS评分：7.5 严重程度：中poo28资讯网——每日最新资讯28at.com

Ruby 中的 WEBrick::HTTPAuth::DigestAuth 到 2.4.7、2.5.x 到 2.5.6 和 2.6.x 到 2.6.4 有一个正则表达式拒绝服务，原因是循环/回溯。受害者必须将使用 DigestAuth 的 WEBrick 服务器暴露给 Internet 或不受信任的网络。poo28资讯网——每日最新资讯28at.com

5.CVE-2021-41817 CVSS评分：7.5 严重程度：中poo28资讯网——每日最新资讯28at.com

在 ruby 中发现了一个漏洞，发现日期对象在解析日期期间容易受到正则表达式拒绝服务 (ReDoS) 的攻击。此漏洞允许攻击者通过提供特制的日期字符串来挂起 ruby 应用程序。此漏洞的最大威胁是系统可用性。poo28资讯网——每日最新资讯28at.com

受影响产品和版本poo28资讯网——每日最新资讯28at.com

Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.2 x86_64poo28资讯网——每日最新资讯28at.com

Red Hat Enterprise Linux Server - AUS 8.2 x86_64poo28资讯网——每日最新资讯28at.com

Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 8.2 s390xpoo28资讯网——每日最新资讯28at.com

Red Hat Enterprise Linux for Power, little endian - Extended Update Support 8.2 ppc64lepoo28资讯网——每日最新资讯28at.com

Red Hat Enterprise Linux Server - TUS 8.2 x86_64poo28资讯网——每日最新资讯28at.com

Red Hat Enterprise Linux for ARM 64 - Extended Update Support 8.2 aarch64poo28资讯网——每日最新资讯28at.com

Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 8.2 ppc64leRed Hat Enterprise Linux Server - Update Services for SAP Solutions 8.2 x86_64poo28资讯网——每日最新资讯28at.com

解决方案poo28资讯网——每日最新资讯28at.com

ruby:2.6 模块的更新现在可用于 Red Hat Enterprise Linux 8.2 扩展更新支持。poo28资讯网——每日最新资讯28at.com

有关如何应用此更新的详细信息（包括此通报中描述的更改），请参阅：poo28资讯网——每日最新资讯28at.com

https://access.redhat.com/articles/11258poo28资讯网——每日最新资讯28at.com

查看更多漏洞信息 以及升级请访问官网：poo28资讯网——每日最新资讯28at.com

https://access.redhat.com/security/security-updates/#/security-advisoriespoo28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-119-2170-0.html云安全日报220222: 红帽Ruby脚本语言发现任意代码执行漏洞，需要尽快升级

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 谷歌AI一次注释了10%的已知蛋白质序列，超过人类十年研究成果

下一篇： Kubernetes的高级部署策略集 译文