Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
В интерпретаторе языка Ruby было обнаружено несколько уязвимостей.
Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2017-0898
aerodudrizzt сообщил о выходе за границы выделенного буфера памяти в методе sprintf
модуля ядра, который приводит к повреждению содержимого динамической памяти или
раскрытию информации, хранящейся в динамической памяти.
CVE-2017-0903
Макс Джастич сообщил, что система RubyGems уязвима к небезопасной десериализации
объекта. Грамматический разбор, выполняемый приложением, обрабатывающим
модули, специально сформированной спецификации модуля в формате YAML
может приводить к удалённому выполнению кода.
CVE-2017-10784
Юсуке Эндо обнаружил ввод экранирующей последовательности в
базовой аутентификации WEBrick. Злоумышленник может использовать
эту уязвимость для введения вредоносных экранирующих последовательностей в
журнал WEBrick и потенциального выполнения управляющих символов в
эмуляторе терминала жертвы при чтении журналов.
CVE-2017-14033
asac сообщил о выходе за границы выделенного буфера памяти в расширении
OpenSSL. Удалённый злоумышленник может использовать эту уязвимость для вызова
аварийной остановки интерпретатора Ruby, что приводит к отказу в обслуживании.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 2.3.3-1+deb9u2.
Рекомендуется обновить пакеты ruby2.3.
Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2017-0898
aerodudrizzt сообщил о выходе за границы выделенного буфера памяти в методе sprintf
модуля ядра, который приводит к повреждению содержимого динамической памяти или
раскрытию информации, хранящейся в динамической памяти.
CVE-2017-0903
Макс Джастич сообщил, что система RubyGems уязвима к небезопасной десериализации
объекта. Грамматический разбор, выполняемый приложением, обрабатывающим
модули, специально сформированной спецификации модуля в формате YAML
может приводить к удалённому выполнению кода.
CVE-2017-10784
Юсуке Эндо обнаружил ввод экранирующей последовательности в
базовой аутентификации WEBrick. Злоумышленник может использовать
эту уязвимость для введения вредоносных экранирующих последовательностей в
журнал WEBrick и потенциального выполнения управляющих символов в
эмуляторе терминала жертвы при чтении журналов.
CVE-2017-14033
asac сообщил о выходе за границы выделенного буфера памяти в расширении
OpenSSL. Удалённый злоумышленник может использовать эту уязвимость для вызова
аварийной остановки интерпретатора Ruby, что приводит к отказу в обслуживании.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 2.3.3-1+deb9u2.
Рекомендуется обновить пакеты ruby2.3.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libruby2.3 - 2.3.3-1+deb9u2
ruby2.3 - 2.3.3-1+deb9u2
ruby2.3-dev - 2.3.3-1+deb9u2
ruby2.3-doc - 2.3.3-1+deb9u2
ruby2.3-tcltk - 2.3.3-1+deb9u2
Debian GNU/Linux 9:
noarch:
libruby2.3 - 2.3.3-1+deb9u2
ruby2.3 - 2.3.3-1+deb9u2
ruby2.3-dev - 2.3.3-1+deb9u2
ruby2.3-doc - 2.3.3-1+deb9u2
ruby2.3-tcltk - 2.3.3-1+deb9u2
Ссылки
http://www.debian.org/security/dsa-4031/
Источник: CVE
Наименование: CVE-2017-10784
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10784
Источник: CVE
Наименование: CVE-2017-14033
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14033
Источник: CVE
Наименование: CVE-2017-0903
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0903
Источник: CVE
Наименование: CVE-2017-0898
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0898
Источник: CVE
Наименование: CVE-2017-10784
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10784
Источник: CVE
Наименование: CVE-2017-14033
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14033
Источник: CVE
Наименование: CVE-2017-0903
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0903
Источник: CVE
Наименование: CVE-2017-0898
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0898