ruby-3.0.7-162.el9_4

エラータID: AXSA:2024-8427:02

リリース日:

2024/06/21 Friday - 17:08

題名:

影響のあるチャネル:

MIRACLE LINUX 9 for x86_64

Severity:

Moderate

Description:

以下項目について対処しました。

[Security Fix]
- Ruby の cgi gem には、入力の検証が適切でない問題がある
ため、リモートの攻撃者により、信頼できないユーザーの
入力から HTTP レスポンスまたは CGI::Cookie オブジェクト
を生成するアプリケーションを介して、HTTP レスポンス
分割攻撃を可能とする脆弱性が存在します。
(CVE-2021-33621)

- Ruby の URI コンポーネントには、特定の文字を含む無効な
URL を処理する際の不具合に起因して CPU リソースを多く
消費してしまう問題があるため、リモートの攻撃者により、
細工された URL の入力を介して、正規表現によるサービス
拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-28755)

- Ruby の Time コンポーネントの Time パーサーには、特定
の文字を含む無効な URL を処理する際の不具合に起因して
CPU リソースを多く消費してしまう問題があるため、
リモートの攻撃者により、細工された URL の入力を介して、
正規表現によるサービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2023-28756)

- Ruby の StringIO の ungetbyte() メソッドおよび ungetc()
メソッドには、文字列バッファの範囲外読み取りの問題が
あるため、リモートの攻撃者により、情報の漏洩を可能と
する脆弱性が存在します。(CVE-2024-27280)

- RDoc には、.rdoc_options ファイルを YAML ファイルとして
解析した際にリストアできるクラスの制限が欠落しているため、
ローカルの攻撃者により、不正なオブジェクトの挿入、および
任意のコードの実行を可能とする脆弱性が存在します。
(CVE-2024-27281)

- Ruby の正規表現の処理には、任意のヒープ領域のデータの
不正や読み取りを許容してしまう問題があるため、ローカル
の攻撃者により、細工された正規表現の入力を介して、情報
の漏洩を可能とする脆弱性が存在します。(CVE-2024-27282)

解決策:

パッケージをアップデートしてください。

CVE:

CVE-2021-33621
The cgi gem before 0.1.0.2, 0.2.x before 0.2.2, and 0.3.x before 0.3.5 for Ruby allows HTTP response splitting. This is relevant to applications that use untrusted user input either to generate an HTTP response or to create a CGI::Cookie object.

CVE-2023-28755
A ReDoS issue was discovered in the URI component through 0.12.0 in Ruby through 3.2.1. The URI parser mishandles invalid URLs that have specific characters. It causes an increase in execution time for parsing strings to URI objects. The fixed versions are 0.12.1, 0.11.1, 0.10.2 and 0.10.0.1.

CVE-2023-28756
A ReDoS issue was discovered in the Time component through 0.2.1 in Ruby through 3.2.1. The Time parser mishandles invalid URLs that have specific characters. It causes an increase in execution time for parsing strings to Time objects. The fixed versions are 0.1.1 and 0.2.2.

CVE-2024-27280
A buffer-overread issue was discovered in StringIO 3.0.1, as distributed in Ruby 3.0.x through 3.0.6 and 3.1.x through 3.1.4. The ungetbyte and ungetc methods on a StringIO can read past the end of a string, and a subsequent call to StringIO.gets may return the memory value. 3.0.3 is the main fixed version; however, for Ruby 3.0 users, a fixed version is stringio 3.0.1.1, and for Ruby 3.1 users, a fixed version is stringio 3.0.1.2.

CVE-2024-27281
An issue was discovered in RDoc 6.3.3 through 6.6.2, as distributed in Ruby 3.x through 3.3.0. When parsing .rdoc_options (used for configuration in RDoc) as a YAML file, object injection and resultant remote code execution are possible because there are no restrictions on the classes that can be restored. (When loading the documentation cache, object injection and resultant remote code execution are also possible if there were a crafted cache.) The main fixed version is 6.6.3.1. For Ruby 3.0 users, a fixed version is rdoc 6.3.4.1. For Ruby 3.1 users, a fixed version is rdoc 6.4.1.1. For Ruby 3.2 users, a fixed version is rdoc 6.5.1.1.

CVE-2024-27282
An issue was discovered in Ruby 3.x through 3.3.0. If attacker-supplied data is provided to the Ruby regex compiler, it is possible to extract arbitrary heap data relative to the start of the text, including pointers and sensitive strings. The fixed versions are 3.0.7, 3.1.5, 3.2.4, and 3.3.1.

追加情報:

N/A

ダウンロード:

SRPMS

ruby-3.0.7-162.el9_4.src.rpm
MD5: 7f81d3aa60db743acf397b282237529f
SHA-256: 8695975637bec0eb176802c4c22c4659b681cceab423c70cfa13b2767495dc0c
Size: 15.31 MB

Asianux Server 9 for x86_64

ruby-3.0.7-162.el9_4.i686.rpm
MD5: d536c6dded09162bf60d17fdfab218f5
SHA-256: 7a5380e2d8e4907f1d665b52b2ca799882c59112e74cf8ada6e2f2df7260e64e
Size: 38.17 kB
ruby-3.0.7-162.el9_4.x86_64.rpm
MD5: d7ed74981d2e0b7f23aedb59b0560399
SHA-256: 691d1b1c28795321e04cd7f7760bdc98a0cf21d2b8a6c991948185e8e35499ff
Size: 38.04 kB
ruby-default-gems-3.0.7-162.el9_4.noarch.rpm
MD5: 5cb0c2a317524ecd0c444ace25065983
SHA-256: 1883f8f960e09eb38b551ff994a55f3c878467818ecf05f5e0bd99314f22bdad
Size: 46.25 kB
ruby-devel-3.0.7-162.el9_4.i686.rpm
MD5: 8df1dec82f5c70cec56c11ba8ee01eff
SHA-256: c58a5295505d575233ca82c09af4d213cdb732359f9d0bf209c7747247a9281e
Size: 308.04 kB
ruby-devel-3.0.7-162.el9_4.x86_64.rpm
MD5: 811c4714b18182b46177abae5ef68fac
SHA-256: 8cf16df6ea6dab492c5c403916bccb036b20e6148e17f1b67dd3de21bc9f6920
Size: 308.24 kB
ruby-doc-3.0.7-162.el9_4.noarch.rpm
MD5: d03d4478da6a3cfe24baa2bdb1195781
SHA-256: 7f38709a7dc5e107699ba40cdb1c891460e608b4c3eb92c179f159fd947a9bd9
Size: 7.46 MB
rubygem-bigdecimal-3.0.0-162.el9_4.x86_64.rpm
MD5: a84e4e293e67bb4feb3a220db586499d
SHA-256: 4cf5c010082998d1e117834da5048b47c20dd359be5e5d24f8d1e2e0b42dd127
Size: 51.31 kB
rubygem-bundler-2.2.33-162.el9_4.noarch.rpm
MD5: 4b4f081a2aee440401c56b20bf22ba34
SHA-256: 24638a55762a5032f742443e98f66ece3c6852ee0e28f48d039600df008886eb
Size: 442.06 kB
rubygem-io-console-0.5.7-162.el9_4.x86_64.rpm
MD5: 4dd958339867fb7aeb88cd3e464be263
SHA-256: dcad0f33f7fe674ecbedb716226dc29a927c2326eefbb2646c5591971267a152
Size: 22.29 kB
rubygem-irb-1.3.5-162.el9_4.noarch.rpm
MD5: ad9e0ce3deabde0cbdfb3aab1fdd752a
SHA-256: e0c2755d51d8d748d7ce7a6ca6fab50ea020e12034ad3faf6566db784b02c61f
Size: 76.45 kB
rubygem-json-2.5.1-162.el9_4.x86_64.rpm
MD5: f251df4505a99c135e8e26bd3c7ef1e4
SHA-256: 5aa62db959c1de080722d46f88f569ffd1487beb8e38214e5a39e1223f4965eb
Size: 57.35 kB
rubygem-minitest-5.14.2-162.el9_4.noarch.rpm
MD5: 65ee1794ab1232db0cf1317d074f8d40
SHA-256: af84178b41c273a60c1fd7ef93c5ad6cdbc89a4224fa4c89b1651c7d5c425e6d
Size: 85.06 kB
rubygem-power_assert-1.2.1-162.el9_4.noarch.rpm
MD5: 4953a20a6fccac3373b6f0511fdac006
SHA-256: bd89f28edd16b963f60362222c919a3f6019c16d63b7efe54b68d1ab84131f35
Size: 25.77 kB
rubygem-psych-3.3.2-162.el9_4.x86_64.rpm
MD5: 62bce2bcdd44e55c530d6d463ca8d207
SHA-256: 08080084456217d01971aed6ed38c7a1187cb7373e8f8b636eb547a7879958dc
Size: 57.83 kB
rubygem-rake-13.0.3-162.el9_4.noarch.rpm
MD5: 803f3c2b1b62c01b217bc60330dfbf30
SHA-256: c75fde85454f20b71d5a0755f18dff686ab3b20bdb72c630fd1c036f4148e01b
Size: 105.03 kB
rubygem-rbs-1.4.0-162.el9_4.noarch.rpm
MD5: d02cd537944cf23f30c75dee168b2b8a
SHA-256: 3b6b11b583b8c74422737c0c283491ca9cf29a828a969707d27c9a0d2ed21dd0
Size: 525.97 kB
rubygem-rdoc-6.3.4.1-162.el9_4.noarch.rpm
MD5: d35d317dd939c898152da9031616ec91
SHA-256: e7b56a6864c5a185707fb307bc9c766a57bcddbee2d2490b19ccabc8d03ed334
Size: 437.79 kB
rubygem-rexml-3.2.5-162.el9_4.noarch.rpm
MD5: 4cf5eadb1779f90399ee29b488c8a684
SHA-256: 7d241d743f84e18734d44645c431e31fcf43e6c4988445f552db6f5b4568e1fd
Size: 107.57 kB
rubygem-rss-0.2.9-162.el9_4.noarch.rpm
MD5: 1f9821c9a782027bc0f7961a0526a5a5
SHA-256: 36c71ad1d442bb224376d36a59de2206da044237ac86fcee135ebfb18177681c
Size: 121.68 kB
rubygems-3.2.33-162.el9_4.noarch.rpm
MD5: be69ef81f2fd53d09f054dfcf60352d0
SHA-256: e7835e9a618e312aa0199dc71a4a5170a704c7534959622ec90da6887d25612a
Size: 297.88 kB
rubygems-devel-3.2.33-162.el9_4.noarch.rpm
MD5: 1ca98a60a1a28c26bb05b2aab8138eac
SHA-256: b0bcc3e0386f796689168389d918182114e2152b155e45133b1e0d168a31afa5
Size: 11.68 kB
rubygem-test-unit-3.3.7-162.el9_4.noarch.rpm
MD5: f23a35fa903cefd109f977adb5d6a581
SHA-256: 1e44900bef7d79a760f655897e035aee7bfc6c5cf29ec604a928aae8f8d7513b
Size: 144.37 kB
rubygem-typeprof-0.15.2-162.el9_4.noarch.rpm
MD5: 7faa29775354de0849e2cf7e572dee80
SHA-256: 15ce74ebf50612b7ac25bd8482cf1b31f00f2738fb5e2cd67556ab8190b270e1
Size: 604.91 kB
ruby-libs-3.0.7-162.el9_4.i686.rpm
MD5: c9332d59095ccb372376abf34e096433
SHA-256: 07e0461e58317635cf0a4c4a8129c72fbed01e58d9c106f6e9bfc29361ffe6d6
Size: 3.36 MB
ruby-libs-3.0.7-162.el9_4.x86_64.rpm
MD5: 2544488f3c999054cf0b0e62436a71f5
SHA-256: 6ea5ada86bebefb6745b80529269cac827e7918f220a3672564b44b54a11d7a2
Size: 3.26 MB

English

Main menu

You are here

ruby-3.0.7-162.el9_4