• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2011:0909-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2011:0909-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
ruby (any) ruby-devel (any) ruby-docs (any) ruby-irb (any) ruby-libs (any) ruby-mode (any) ruby-rdoc (any) ruby-ri (any) ruby-tcltk (any)
Описание
Ruby - это объектно-ориентированный язык программирования. Он позволяет обрабатывать текстовые файлы и выполнять задачи по управлению системой.
Ошибка обнаружена при выделении большого количества памяти в 64-битных системах с использованием класса BigDecimal. Злоумышленник может использовать данную уязвимость, чтобы вызвать ошибку при работе с памятью, что приведет к аварийному завершению работы приложения Ruby, которое использует класс BigDecimal, или позволит выполнить произвольный код. Данной уязвимости не подвержены 32-битные системы. (CVE-2011-0188)
Ошибка, связанная с условиями race condition, обнаружена в методе удаления системных записей в модуле FileUtils. Если локальный пользователь запустит сценарий Ruby, который использует этот метод, злоумышленник, действующий локально, сможет использовать данную уязвимость, чтобы удалить произвольные файлы или каталоги, которые доступны после проведения атаки на символические ссылки. (CVE-2011-1004)
Обнаружено, что WEBrick (инструмент для работы с сервером Ruby HTTP) не фильтрует терминальные символы последовательностей из файлов журналов. Злоумышленник, действующий удаленно, может использовать специально сформированные HTTP-запросы, чтобы внедрить терминальные символы последовательностей в файлы журналов WEBrick. Если жертва просматривает файлы журналов в эмуляторе терминала, это может привести к выполнению кода с привилегиями этого пользователя. (CVE-2009-4492)
Ошибка, связанная с межсайтовым выполнением сценариев (XSS) обнаружена в WEBrick при отображении страниц с ошибками. Злоумышленник, действующий удаленно, может использовать эту уязвимость, чтобы провести атаку межсайтового выполнения сценариев, заставив жертву открыть специально сформированный URL. (CVE-2010-0541)
Ошибка обнаружена в методе перевода сообщения об исключении в строковый вид в классе Exception. Злоумышленник, действующий удаленно, может использовать данную уязвимость, чтобы обойти ограничения безопасности уровня 4 и изменить произвольные (untainted) строки. (CVE-2011-1005)
Всем пользователям Ruby рекомендуется обновить свое программное обеспечение.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0909.html
Ссылки
CVE (CVE-2009-4492): https://www.redhat.com/security/data/cve/CVE-2009-4492.html
CVE (CVE-2010-0541): https://www.redhat.com/security/data/cve/CVE-2010-0541.html
CVE (CVE-2011-0188): https://www.redhat.com/security/data/cve/CVE-2011-0188.html
CVE (CVE-2011-1004): https://www.redhat.com/security/data/cve/CVE-2011-1004.html
CVE (CVE-2011-1005): https://www.redhat.com/security/data/cve/CVE-2011-1005.html
BUGZILLA (554485): http://bugzilla.redhat.com/554485
BUGZILLA (587731): http://bugzilla.redhat.com/587731
BUGZILLA (678913): http://bugzilla.redhat.com/678913
BUGZILLA (678920): http://bugzilla.redhat.com/678920
BUGZILLA (682332): http://bugzilla.redhat.com/682332

Источник: CVE
Наименование: CVE-2009-4492
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4492

Источник: CVE
Наименование: CVE-2010-0541
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0541

Источник: CVE
Наименование: CVE-2011-0188
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0188

Источник: CVE
Наименование: CVE-2011-1004
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1004

Источник: CVE
Наименование: CVE-2011-1005
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1005