ruby:3.0 security fix update

エラータID: AXSA:2024-8502:01

リリース日: 
2024/07/03 Wednesday - 15:04
題名: 
ruby:3.0 security fix update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Ruby の cgi gem には、入力の検証が適切でない問題がある
ため、リモートの攻撃者により、信頼できないユーザーの入力
から HTTP レスポンスまたは CGI::Cookie オブジェクトを生成
するアプリケーションを介して、HTTP レスポンス分割攻撃を
可能とする脆弱性が存在します。(CVE-2021-33621)

- Ruby の URI コンポーネントには、特定の文字を含む無効な
URL を処理する際の不具合に起因して CPU リソースを多く
消費してしまう問題があるため、リモートの攻撃者により、
細工された URL の入力を介して、正規表現によるサービス
拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-28755)

- Ruby の Time コンポーネントの Time パーサーには、特定
の文字を含む無効な URL を処理する際の不具合に起因して
CPU リソースを多く消費してしまう問題があるため、
リモートの攻撃者により、細工された URL の入力を介して、
正規表現によるサービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2023-28756)

- Ruby の StringIO の ungetbyte() メソッドおよび ungetc()
メソッドには、文字列バッファの範囲外読み取りの問題が
あるため、リモートの攻撃者により、情報の漏洩を可能
とする脆弱性が存在します。(CVE-2024-27280)

- RDoc には、.rdoc_options ファイルを YAML ファイル
として解析した際にリストアできるクラスの制限が欠落
しているため、ローカルの攻撃者により、不正な
オブジェクトの挿入、および任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-27281)

- Ruby の正規表現の処理には、任意のヒープ領域のデータ
の不正や読み取りを許容してしまう問題があるため、
ローカルの攻撃者により、細工された正規表現の入力を
介して、情報の漏洩を可能とする脆弱性が存在します。
(CVE-2024-27282)

Modularity name: ruby
Stream name: 3.0

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2021-33621
The cgi gem before 0.1.0.2, 0.2.x before 0.2.2, and 0.3.x before 0.3.5 for Ruby allows HTTP response splitting. This is relevant to applications that use untrusted user input either to generate an HTTP response or to create a CGI::Cookie object.
CVE-2023-28755
A ReDoS issue was discovered in the URI component through 0.12.0 in Ruby through 3.2.1. The URI parser mishandles invalid URLs that have specific characters. It causes an increase in execution time for parsing strings to URI objects. The fixed versions are 0.12.1, 0.11.1, 0.10.2 and 0.10.0.1.
CVE-2023-28756
A ReDoS issue was discovered in the Time component through 0.2.1 in Ruby through 3.2.1. The Time parser mishandles invalid URLs that have specific characters. It causes an increase in execution time for parsing strings to Time objects. The fixed versions are 0.1.1 and 0.2.2.
CVE-2024-27280
A buffer-overread issue was discovered in StringIO 3.0.1, as distributed in Ruby 3.0.x through 3.0.6 and 3.1.x through 3.1.4. The ungetbyte and ungetc methods on a StringIO can read past the end of a string, and a subsequent call to StringIO.gets may return the memory value. 3.0.3 is the main fixed version; however, for Ruby 3.0 users, a fixed version is stringio 3.0.1.1, and for Ruby 3.1 users, a fixed version is stringio 3.0.1.2.
CVE-2024-27281
An issue was discovered in RDoc 6.3.3 through 6.6.2, as distributed in Ruby 3.x through 3.3.0. When parsing .rdoc_options (used for configuration in RDoc) as a YAML file, object injection and resultant remote code execution are possible because there are no restrictions on the classes that can be restored. (When loading the documentation cache, object injection and resultant remote code execution are also possible if there were a crafted cache.) The main fixed version is 6.6.3.1. For Ruby 3.0 users, a fixed version is rdoc 6.3.4.1. For Ruby 3.1 users, a fixed version is rdoc 6.4.1.1. For Ruby 3.2 users, a fixed version is rdoc 6.5.1.1.
CVE-2024-27282
An issue was discovered in Ruby 3.x through 3.3.0. If attacker-supplied data is provided to the Ruby regex compiler, it is possible to extract arbitrary heap data relative to the start of the text, including pointers and sensitive strings. The fixed versions are 3.0.7, 3.1.5, 3.2.4, and 3.3.1.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. rubygem-abrt-0.4.0-1.module+el8+1782+df3d0b27.src.rpm
    MD5: ab65fb26b3f116d2a2511aca3a3fb7de
    SHA-256: e4c22d3b89e824ab351245b6474d54d315674e4467c92c7a45c92b3032b03768
    Size: 16.60 kB
  2. rubygem-mysql2-0.5.3-2.module+el8+1782+df3d0b27.src.rpm
    MD5: ae0a7650fc4a3f4a2aa0018d626aa307
    SHA-256: 90252e22022a84d91d32662b7f975c2d0c1aee54599319d084e0c7abb099c2f1
    Size: 110.46 kB
  3. rubygem-pg-1.2.3-1.module+el8+1782+df3d0b27.src.rpm
    MD5: 1e0d6259c1727ffbeb5cb2d723f18cc6
    SHA-256: b931f0b33bdfb0294b79cbde62ce9b4c77ef089cbdda7b43b06f8311a942affa
    Size: 201.27 kB
  4. ruby-3.0.7-143.module+el8+1782+df3d0b27.src.rpm
    MD5: ee8ce92a3b831ec9c4a9e77dbc23ff8e
    SHA-256: 0e684b9066f0d875a72e0082452de330be932b7011665aaf77f6b8f7977926ae
    Size: 15.24 MB

Asianux Server 8 for x86_64
  1. ruby-3.0.7-143.module+el8+1782+df3d0b27.i686.rpm
    MD5: eda81c2579ebcff9d743f461abb27ba2
    SHA-256: c3af7c92fa2130c8659cf1725045ae7972660eafdfe2c98d2b481655e8fcce55
    Size: 88.94 kB
  2. ruby-3.0.7-143.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: 69e09e762cd0f62399b30602d2798099
    SHA-256: 30a9d4a4cdef3e4643633324c5877aa25a0cb0183cfb1587e09cc99759f0a2f1
    Size: 88.85 kB
  3. ruby-debugsource-3.0.7-143.module+el8+1782+df3d0b27.i686.rpm
    MD5: 2dece716381e103c61694a7cab3565fa
    SHA-256: afa427e2ef9658110623e9be753b65c96e35befb9f84dc67e8f6214238a0b198
    Size: 4.12 MB
  4. ruby-debugsource-3.0.7-143.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: 637491479ad878bdea38ef3ed7626678
    SHA-256: 01aee65e7f30e38a3b0717d2a516dc1204bee7b34dc1c7d3c93dd615678d0c3c
    Size: 4.12 MB
  5. ruby-default-gems-3.0.7-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 2f8eff8a057165f903b13801b9006d2f
    SHA-256: eeb5264c158cd0031682d9b6b10ae2ee9478c343d251589bdbf755d839782c17
    Size: 80.25 kB
  6. ruby-devel-3.0.7-143.module+el8+1782+df3d0b27.i686.rpm
    MD5: 3eaafacd0250c2b4c235b1664109bb6f
    SHA-256: be4050485ae0f655787d7f30e3c65ac8bbb16e5b435b34a5f671c922479cfbb2
    Size: 336.65 kB
  7. ruby-devel-3.0.7-143.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: 73493544063b66d3da1759332dbeeabd
    SHA-256: fc5bc23881668be998864f5e16993ff6a6e9e06a52c6b6081a4451993b8ce50a
    Size: 336.76 kB
  8. ruby-doc-3.0.7-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 5ccb6e4b653895f7d9f029ffe95aead9
    SHA-256: 24f4003a523ae5519b403149f0c3bde11ff6bbc1584941ce6c23dd0c237c8421
    Size: 5.47 MB
  9. rubygem-abrt-0.4.0-1.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 6048df585c3c520c84a88134aefce769
    SHA-256: 28c5856261d8bd502972c43adb45b8123360d4172796b1581aaf4c974515753f
    Size: 12.54 kB
  10. rubygem-abrt-doc-0.4.0-1.module+el8+1782+df3d0b27.noarch.rpm
    MD5: cdc9ff5b7012ebed65cede1598f9db69
    SHA-256: 83fe3fa74d4c0ab1fdfadc947abcd24fb6c9affd4e9718602f4cd732548dd42a
    Size: 198.15 kB
  11. rubygem-bigdecimal-3.0.0-143.module+el8+1782+df3d0b27.i686.rpm
    MD5: 313908023b0961574b861382aab70ee3
    SHA-256: 56fa836f6a5d9791ac16d43e7f170dfd47c2ab28a04c2fc03c52e7b68f1aa3c0
    Size: 105.16 kB
  12. rubygem-bigdecimal-3.0.0-143.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: 60b2a1c1d6a89e9ab826a9eeee968dff
    SHA-256: 471bc9a2ff387e1b7e055490c5df982aad63278ee52f51ee7317cfa5e5b5a99e
    Size: 101.68 kB
  13. rubygem-bundler-2.2.33-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 59ace3c1ebf8519a0be4a0abe52b6ea1
    SHA-256: 1079b3e2270126f0d78f55b86541c418fe95848922856c46f67b022aff493046
    Size: 449.46 kB
  14. rubygem-io-console-0.5.7-143.module+el8+1782+df3d0b27.i686.rpm
    MD5: 9d7c095d7932ece117d85690be306728
    SHA-256: 9431f2165a68cd306f6f593e8dff8513b189f3e2a3e27ef25eb4ec88987a2277
    Size: 73.89 kB
  15. rubygem-io-console-0.5.7-143.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: 5bfe41450c4e8eacafb3041b81c5a7ee
    SHA-256: 2473dc4507c0e36b3c591572570ea7b4703e1bc01be66a11b107c5f66ecf41ca
    Size: 72.38 kB
  16. rubygem-irb-1.3.5-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: cc47fff6a7cf4a86bef231887959270b
    SHA-256: dadf10f97b1f3375daf8b3752b11373a7ecff5ea9c7667f44d3457a7c415ae05
    Size: 123.72 kB
  17. rubygem-json-2.5.1-143.module+el8+1782+df3d0b27.i686.rpm
    MD5: c6bd2289f05d8f9976f4891ea3e0d3a9
    SHA-256: f0728f0cbefab7bef388490705be56b287ede3cc4ada07978b1e28d231f4ce5c
    Size: 101.40 kB
  18. rubygem-json-2.5.1-143.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: d8af75138820129e1bebacdadbd76bb6
    SHA-256: f14c4901bfaa6819bd4e91a4e617c7a4d283f511e4282f945a89350f25913870
    Size: 100.14 kB
  19. rubygem-minitest-5.14.2-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: c6d06b021942a5645b99435b929d790d
    SHA-256: c578e2deb8d78dc5b78485621df3e6faa8139f306ddfac4fa348277c856c761f
    Size: 132.27 kB
  20. rubygem-mysql2-0.5.3-2.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: ac96ec209f54b6e3d19a38026911520e
    SHA-256: 1b0607f543cb27eb4f4cdce039e280c834ff8a35d4c4ff7d9eab086404c91dde
    Size: 47.69 kB
  21. rubygem-mysql2-debugsource-0.5.3-2.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: ba254f09e3d519e045f2e00070a0a486
    SHA-256: bfb872f60b556ba5eb2d0b92cc08dbb09dce7ae6467df5f849d8ae1e64091aa7
    Size: 36.84 kB
  22. rubygem-mysql2-doc-0.5.3-2.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 338442f3b0baf1341372e6070c4d572c
    SHA-256: ca8997d5b0cb0bf68e51d6b75b1a9028bb64189ebbb02e0755bd73ab30642828
    Size: 247.07 kB
  23. rubygem-pg-1.2.3-1.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: 1b5b32fc957cba879f5b49541292cf98
    SHA-256: 2f2a885fc884c677db2b4f2917515305211ec979ddf00597d2493bec97199f63
    Size: 101.48 kB
  24. rubygem-pg-debugsource-1.2.3-1.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: b7c8005ba7390f2eff76af12627dc617
    SHA-256: e4185d2864fafa77507cb33ef0e14f65047001bffe8f1708f2e581cc61d74463
    Size: 98.10 kB
  25. rubygem-pg-doc-1.2.3-1.module+el8+1782+df3d0b27.noarch.rpm
    MD5: b56963013f33c2613e413c1009959b0d
    SHA-256: e217fa70f24e4e265fad3653091b294c930fc9b139e1965f9057a5a432f48904
    Size: 526.12 kB
  26. rubygem-power_assert-1.2.1-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 5560472c9ac6077e9aeac08487c18d42
    SHA-256: 6211f4bf9ab5dd45d9d22358c42175b4773697d3e44a2fc4a6dfa67fa669eda1
    Size: 71.62 kB
  27. rubygem-psych-3.3.2-143.module+el8+1782+df3d0b27.i686.rpm
    MD5: cbff1609f38ded2890b268478fa55fec
    SHA-256: 9f7245e090154e1d5540f0bd25cee1fdcc9679a182855f9f6008041dfcdab3e7
    Size: 100.29 kB
  28. rubygem-psych-3.3.2-143.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: 2fbc16ab92b6dd6442f62fc2b035d0be
    SHA-256: ce14a0edda9b867c49326fc47dccdc700f909b2f754da37054faa8df8e23fd61
    Size: 98.95 kB
  29. rubygem-rake-13.0.3-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: d2a85ce9cdccbb010e590d00e1156fd4
    SHA-256: 107eba862991f6f071bd7e07211b8ebd41f6d716d75ad0873528873a3244f3c1
    Size: 143.03 kB
  30. rubygem-rbs-1.4.0-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 84ca8183d5cd4d48bebd89ac7c789c5e
    SHA-256: f26b52ff47c2408501c04dcfa554574a1a8c6fdecf528587aa441a9ea9365166
    Size: 563.95 kB
  31. rubygem-rdoc-6.3.4.1-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 3938542aa167fdde97da2b65726607db
    SHA-256: 5d2a29e33c3d2a8d0be375be8298c35dcd461695d787a67a7896b7169dce53fe
    Size: 459.47 kB
  32. rubygem-rexml-3.2.5-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 30ea4cadb58924374531d647f9f413ae
    SHA-256: 87866a374b161f58eafdccff1e01dfdb6f1bd8473b034fff343d12f63ee2b83a
    Size: 148.78 kB
  33. rubygem-rss-0.2.9-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: a2ae0e215f56f4cb27143c21023b2c42
    SHA-256: 451fce89368d6dc8379e232a71bd2448a0625f246b546f3428af3682dbc6803f
    Size: 160.01 kB
  34. rubygems-3.2.33-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 400079817f907d1f1c84d55c42cd54f8
    SHA-256: d1c1c50c99b85d7b02e8de44f4c756d7176fe7c52c6148b1a5ab53f3b3a3733f
    Size: 327.38 kB
  35. rubygems-devel-3.2.33-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 1d086afa688152dbc3ce3cbe09e0a352
    SHA-256: 98df8cd4d256bdd4979c0a49a24265272b72154982c0f2d18cae48ac1c0213eb
    Size: 62.35 kB
  36. rubygem-test-unit-3.3.7-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: ba1d89cf9da807d57c6eb27c71e58d15
    SHA-256: 45b61101e7dfbcc89f186127a60eb723f3047a0a1708d5034745f629f719f028
    Size: 178.57 kB
  37. rubygem-typeprof-0.15.2-143.module+el8+1782+df3d0b27.noarch.rpm
    MD5: 9ddc235138d82516ba0ac9c501ab4e98
    SHA-256: 43ad425c838ab8fbf3ebc99ec072659f12eb0ea9ae1f1fd579f2cc98a7eaadba
    Size: 582.86 kB
  38. ruby-libs-3.0.7-143.module+el8+1782+df3d0b27.i686.rpm
    MD5: 20341485fa1f3c0e67b5ff83b705b4f2
    SHA-256: 13dcbb2b03312e039af84314cfa923aeee5b2b9d59628597c1ea26e3af6e34db
    Size: 3.37 MB
  39. ruby-libs-3.0.7-143.module+el8+1782+df3d0b27.x86_64.rpm
    MD5: 9174115a57da146ad2a4edaef25ea132
    SHA-256: 8f278442448c9ca186cf5c7b90827be85e63c9b42305474d1879814e6fd6c06b
    Size: 3.24 MB