• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2011:0908-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2011:0908-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
irb (any) ruby (any) ruby-devel (any) ruby-docs (any) ruby-libs (any) ruby-mode (any) ruby-tcltk (any)
Описание
Ruby - это объектно-ориентированный язык программирования. Он позволяет обрабатывать текстовые файлы и выполнять задачи по управлению системой.
Ошибка обнаружена при выделении большого количества памяти в 64-битных системах с использованием класса BigDecimal. Злоумышленник может использовать данную уязвимость, чтобы вызвать ошибку при работе с памятью, что приведет к аварийному завершению работы приложения Ruby, которое использует класс BigDecimal, или позволит выполнить произвольный код. Данной уязвимости не подвержены 32-битные системы. (CVE-2011-0188)
Обнаружено, что WEBrick (инструмент для работы с сервером Ruby HTTP) не фильтрует терминальные символы последовательностей из файлов журналов. Злоумышленник, действующий удаленно, может использовать специально сформированные HTTP-запросы, чтобы внедрить терминальные символы последовательностей в файлы журналов WEBrick. Если жертва просматривает файлы журналов в эмуляторе терминала, это может привести к выполнению кода с привилегиями этого пользователя. (CVE-2009-4492)
Ошибка, связанная с межсайтовым выполнением сценариев (XSS) обнаружена в WEBrick при отображении страниц с ошибками. Злоумышленник, действующий удаленно, может использовать эту уязвимость, чтобы провести атаку межсайтового выполнения сценариев, заставив жертву открыть специально сформированный URL. (CVE-2010-0541)
Ошибка обнаружена в методе перевода сообщения об исключении в строковый вид в классе Exception. Злоумышленник, действующий удаленно, может использовать данную уязвимость, чтобы обойти ограничения безопасности уровня 4 и изменить произвольные (untainted) строки. (CVE-2011-1005)
Всем пользователям Ruby рекомендуется обновить свое программное обеспечение.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0908.html
Ссылки
CVE (CVE-2009-4492): https://www.redhat.com/security/data/cve/CVE-2009-4492.html
CVE (CVE-2010-0541): https://www.redhat.com/security/data/cve/CVE-2010-0541.html
CVE (CVE-2011-0188): https://www.redhat.com/security/data/cve/CVE-2011-0188.html
CVE (CVE-2011-1005): https://www.redhat.com/security/data/cve/CVE-2011-1005.html
BUGZILLA (554485): http://bugzilla.redhat.com/554485
BUGZILLA (587731): http://bugzilla.redhat.com/587731
BUGZILLA (678920): http://bugzilla.redhat.com/678920
BUGZILLA (682332): http://bugzilla.redhat.com/682332

Источник: CVE
Наименование: CVE-2009-4492
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4492

Источник: CVE
Наименование: CVE-2010-0541
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0541

Источник: CVE
Наименование: CVE-2011-0188
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0188

Источник: CVE
Наименование: CVE-2011-1005
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1005