Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
ruby
(any)
ruby-devel
(any)
ruby-docs
(any)
ruby-irb
(any)
ruby-libs
(any)
ruby-rdoc
(any)
ruby-ri
(any)
ruby-static
(any)
ruby-tcltk
(any)
Описание
Ruby - это объектно-ориентированный язык программирования. Он позволяет обрабатывать текстовые файлы и выполнять задачи по управлению системой.
Ошибка обнаружена при выделении большого количества памяти в 64-битных системах с использованием класса BigDecimal. Злоумышленник может использовать данную уязвимость, чтобы вызвать ошибку при работе с памятью, что приведет к аварийному завершению работы приложения Ruby, которое использует класс BigDecimal, или позволит выполнить произвольный код. Данной уязвимости не подвержены 32-битные системы. (CVE-2011-0188)
Ошибка, связанная с условиями race condition, обнаружена в методе удаления системных записей в модуле FileUtils. Если локальный пользователь запустит сценарий Ruby, который использует этот метод, злоумышленник, действующий локально, сможет использовать данную уязвимость, чтобы удалить произвольные файлы или каталоги, которые доступны после проведения атаки на символические ссылки. (CVE-2011-1004)
Ошибка обнаружена в методе перевода сообщения об исключении в строковый вид в классе Exception. Злоумышленник, действующий удаленно, может использовать данную уязвимость, чтобы обойти ограничения безопасности уровня 4 и изменить произвольные (untainted) строки. (CVE-2011-1005)
Всем пользователям Ruby рекомендуется обновить свое программное обеспечение.
Ошибка обнаружена при выделении большого количества памяти в 64-битных системах с использованием класса BigDecimal. Злоумышленник может использовать данную уязвимость, чтобы вызвать ошибку при работе с памятью, что приведет к аварийному завершению работы приложения Ruby, которое использует класс BigDecimal, или позволит выполнить произвольный код. Данной уязвимости не подвержены 32-битные системы. (CVE-2011-0188)
Ошибка, связанная с условиями race condition, обнаружена в методе удаления системных записей в модуле FileUtils. Если локальный пользователь запустит сценарий Ruby, который использует этот метод, злоумышленник, действующий локально, сможет использовать данную уязвимость, чтобы удалить произвольные файлы или каталоги, которые доступны после проведения атаки на символические ссылки. (CVE-2011-1004)
Ошибка обнаружена в методе перевода сообщения об исключении в строковый вид в классе Exception. Злоумышленник, действующий удаленно, может использовать данную уязвимость, чтобы обойти ограничения безопасности уровня 4 и изменить произвольные (untainted) строки. (CVE-2011-1005)
Всем пользователям Ruby рекомендуется обновить свое программное обеспечение.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0910.html
https://rhn.redhat.com/errata/RHSA-2011-0910.html
Ссылки
CVE (CVE-2011-0188): https://www.redhat.com/security/data/cve/CVE-2011-0188.html
CVE (CVE-2011-1004): https://www.redhat.com/security/data/cve/CVE-2011-1004.html
CVE (CVE-2011-1005): https://www.redhat.com/security/data/cve/CVE-2011-1005.html
BUGZILLA (678913): http://bugzilla.redhat.com/678913
BUGZILLA (678920): http://bugzilla.redhat.com/678920
BUGZILLA (682332): http://bugzilla.redhat.com/682332
Источник: CVE
Наименование: CVE-2011-0188
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0188
Источник: CVE
Наименование: CVE-2011-1004
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1004
Источник: CVE
Наименование: CVE-2011-1005
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1005
CVE (CVE-2011-1004): https://www.redhat.com/security/data/cve/CVE-2011-1004.html
CVE (CVE-2011-1005): https://www.redhat.com/security/data/cve/CVE-2011-1005.html
BUGZILLA (678913): http://bugzilla.redhat.com/678913
BUGZILLA (678920): http://bugzilla.redhat.com/678920
BUGZILLA (682332): http://bugzilla.redhat.com/682332
Источник: CVE
Наименование: CVE-2011-0188
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0188
Источник: CVE
Наименование: CVE-2011-1004
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1004
Источник: CVE
Наименование: CVE-2011-1005
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1005