ruby-1.8.5-19.1.0.1.AXS3

エラータID: AXSA:2011-226:01

リリース日: 
2011/07/12 Tuesday - 14:29
題名: 
ruby-1.8.5-19.1.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。<br />
<br />
[Security Fix]<br />
- Ruby の WEBrick は非表示文字をサニタイズせずにログファイルに書き出しており, ターミナルエミュレータのエスケープシークェンスを含んだ HTTP リクエストによって, リモートの攻撃者がウィンドウのタイトルを修正したり, 任意のコマンドを実行したり, ファイルの上書きを行う可能性のある脆弱性があります。(CVE-2009-4492)<br />
<br />
- Apple Mac OS X の Ruby WEBrick HTTP サーバには、クロスサイトスクリプティングの脆弱性が存在します。 (CVE-2010-0541)<br />
<br />
- Ruby の BigDecimal クラス内にある bigdecimal.c の VpMemAlloc 関数には、メモリの割り当てを適切に行わないため、任意のコードを実行される、またはサービス運用妨害 (DoS) 状態となる脆弱性が存在します。(CVE-2011-0188)<br />
<br />
- ruby の FileUtils.remove_entry_secure メソッドには,ローカルのユーザがシンボリックリンク攻撃によって任意のファイルを削除できる脆弱性があります。(CVE-2011-1004)<br />
<br />
- Ruby の セーフレベル機能には, Exception#to_s メソッドによって, 攻撃者が文字列を変更できる脆弱性があります。(CVE-2011-1005)<br />
<br />
一部CVEの翻訳文はJVNからの引用になります。<br />
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2009-4492
WEBrick 1.3.1 in Ruby 1.8.6 through patchlevel 383, 1.8.7 through patchlevel 248, 1.8.8dev, 1.9.1 through patchlevel 376, and 1.9.2dev writes data to a log file without sanitizing non-printable characters, which might allow remote attackers to modify a window's title, or possibly execute arbitrary commands or overwrite files, via an HTTP request containing an escape sequence for a terminal emulator.
CVE-2010-0541
Cross-site scripting (XSS) vulnerability in the WEBrick HTTP server in Ruby in Apple Mac OS X 10.5.8, and 10.6 before 10.6.4, allows remote attackers to inject arbitrary web script or HTML via a crafted URI that triggers a UTF-7 error page.
CVE-2011-0188
The VpMemAlloc function in bigdecimal.c in the BigDecimal class in Ruby 1.9.2-p136 and earlier, as used on Apple Mac OS X before 10.6.7 and other platforms, does not properly allocate memory, which allows context-dependent attackers to execute arbitrary code or cause a denial of service (application crash) via vectors involving creation of a large BigDecimal value within a 64-bit process, related to an "integer truncation issue."
CVE-2011-1004
The FileUtils.remove_entry_secure method in Ruby 1.8.6 through 1.8.6-420, 1.8.7 through 1.8.7-330, 1.8.8dev, 1.9.1 through 1.9.1-430, 1.9.2 through 1.9.2-136, and 1.9.3dev allows local users to delete arbitrary files via a symlink attack.
CVE-2011-1005
The safe-level feature in Ruby 1.8.6 through 1.8.6-420, 1.8.7 through 1.8.7-330, and 1.8.8dev allows context-dependent attackers to modify strings via the Exception#to_s method, as demonstrated by changing an intended pathname.
追加情報: 

N/A

ダウンロード: 

Asianux Server 3 for x86
  1. ruby-1.8.5-19.1.0.1.AXS3.i386.rpm
    MD5: 3593ccd93f2290c24336b32ccd313877
    SHA-256: 114aaa215987f69c07127fdcd17a682d48e2df5cd0b7cc3898156d593faba2ba
    Size: 279.60 kB
  2. ruby-devel-1.8.5-19.1.0.1.AXS3.i386.rpm
    MD5: f23a7b28c84016cd24271014cc3b824c
    SHA-256: a2de2d93855e9f5fde4d0c311f693cfd083b7f86152ae5103e82d6e723b463b4
    Size: 549.94 kB
  3. ruby-docs-1.8.5-19.1.0.1.AXS3.i386.rpm
    MD5: 38975ea487fab07af762ead233753f5a
    SHA-256: 6cd2de869dc39c8382a939aab8e5f4fdc3f1393fc6d100a582cf4a2561d2f6ff
    Size: 1.45 MB
  4. ruby-irb-1.8.5-19.1.0.1.AXS3.i386.rpm
    MD5: 62c08df37f27c80a2b0e3979581532e0
    SHA-256: b5dae7bcd88dd63726831ddb9ef731b5baca0f51816bc8961020f65d5e216a84
    Size: 70.61 kB
  5. ruby-libs-1.8.5-19.1.0.1.AXS3.i386.rpm
    MD5: 4536344f903113de2cbe22508e6f62a9
    SHA-256: cd1cf977ad9082e1addf10aeafe91052cc585cb6efac84267155bd39093f4546
    Size: 1.62 MB
  6. ruby-mode-1.8.5-19.1.0.1.AXS3.i386.rpm
    MD5: 33c415ada72bc8a13e619160e5ae22e7
    SHA-256: 5db5e51bcaa697d16a1099d86c4ec91f97ba22ce5f15001dda20bb13f792968d
    Size: 55.19 kB
  7. ruby-tcltk-1.8.5-19.1.0.1.AXS3.i386.rpm
    MD5: dd801287b294f7aa90feac2bd63d4748
    SHA-256: 14314d6433f9281576510c4d542c66a2c2fceba47cb9b819820c24c753a7cfa6
    Size: 1.66 MB

Asianux Server 3 for x86_64
  1. ruby-1.8.5-19.1.0.1.AXS3.x86_64.rpm
    MD5: 1ab6e4c8038ece3da663941fdea7e8a7
    SHA-256: ecc18ca014084fdbc298b95c4da91113c488202879f0819c0994994aa0eaa690
    Size: 279.60 kB
  2. ruby-devel-1.8.5-19.1.0.1.AXS3.x86_64.rpm
    MD5: 11a1cb9ab3c19a4ad7a1ed07a7d0ce16
    SHA-256: cab866cf1ce3757ab662733ebed6713ab3e2e5ee74a7ce909e88e27f176ef1fe
    Size: 559.59 kB
  3. ruby-docs-1.8.5-19.1.0.1.AXS3.x86_64.rpm
    MD5: 258a89aa2c4f45f2d0980fdb80d99761
    SHA-256: 8c29efc3c9a293b0c4c277572408cf6b8d7bc3c9113e050a1ce25acae3954fed
    Size: 1.44 MB
  4. ruby-irb-1.8.5-19.1.0.1.AXS3.x86_64.rpm
    MD5: 89ff778d0d058b89ac612f8d816fbe08
    SHA-256: b8345493910c4b39c333dcdde1ed64398e445a4c68a83619b193819375104f87
    Size: 70.58 kB
  5. ruby-libs-1.8.5-19.1.0.1.AXS3.x86_64.rpm
    MD5: 3d87d18f9215ec9e9a7ae323911aa84b
    SHA-256: a028cab00197bc3f73fabb6c6565b05bdf8e645319055daa2c2aad59c95deeaa
    Size: 1.63 MB
  6. ruby-mode-1.8.5-19.1.0.1.AXS3.x86_64.rpm
    MD5: 37c1f4e449494d63e1ecd33e6cfdd97c
    SHA-256: 9b2e334e53f4e6184c11a7691fd78e3f3a5495dd2cb746ef409dcfc88402ecd2
    Size: 55.16 kB
  7. ruby-tcltk-1.8.5-19.1.0.1.AXS3.x86_64.rpm
    MD5: bf49b480f4150fc23cb5772ca0a708d6
    SHA-256: 940b2be6d6e540f27ed783d7aa3ebb69e79f4aa853bfbf5358ba8a995ed8a3d4
    Size: 1.66 MB