官方承諾:K60至尊版將會首批升級MIUI 15
全新的MIUI 15今天也有了消息,在官宣了K60至尊版將會搭載天璣9200+處理器和獨顯芯片X7的同時,Redmi給出了官方承諾,K60至尊重大更新首批升級,會首批推送MIUI 15。也就是說雖然
Ruby是一種可擴展的、解釋性的、面向對象的腳本語言。它具有處理文本文件和執行系統管理任務的功能。8月5日,RedHat發布了安全更新,修復了紅帽Ruby腳本語言中發現的任意代碼執行等重要漏洞。以下是漏洞詳情:
漏洞詳情
來源:https://access.redhat.com/errata/RHSA-2022:0708
1.CVE-2020-36327 CVSS評分:8.8 嚴重程度:高
在安裝受源限制的gem包的依賴項時,Bundler 確定源存儲庫的方式存在漏洞。在使用多個gem存儲庫并明確定義要從哪個源存儲庫安裝某些 gem 的配置中,如果該存儲庫提供了更高版本的包,則可以從不同的源安裝受源限制的gem的依賴項。這可能導致安裝惡意gem版本和執行任意代碼。
2.CVE-2021-41817 CVSS評分:7.5 嚴重程度:中
在 ruby 中發現了一個漏洞,發現日期對象在解析日期期間容易受到正則表達式拒絕服務 (ReDoS) 的攻擊。此漏洞允許攻擊者通過提供特制的日期字符串來掛起 ruby 應用程序。此漏洞的最大威脅是系統可用性。
3.CVE-2021-41819 CVSS評分:7.5 嚴重程度:中
Ruby 到 2.6.8 中的 CGI::Cookie.parse 錯誤處理 cookie 名稱中的安全前綴。這也通過 Ruby 的 0.3.0 影響了 CGI gem。
4.CVE-2021-32066 CVSS評分:7.4 嚴重程度:中
Ruby 的 Net::IMAP 模塊在收到對 STARTTLS 命令的意外響應并且連接未升級為使用 TLS 時沒有引發異常。中間人攻擊者可以利用此漏洞阻止 Ruby 應用程序使用 Net::IMAP 為與 IMAP 服務器的連接啟用 TLS 加密,然后竊聽或修改通過純文本連接發送的數據。
5.CVE-2021-31799 CVSS評分:7.0 嚴重程度:中
在 RDoc 中發現了一個操作系統命令注入漏洞。使用 rdoc 命令為惡意 Ruby 源代碼生成文檔可能會導致以運行 rdoc 的用戶的權限執行任意命令。
受影響產品和版本
Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64
Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7 s390x
Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7 ppc64le
Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64
解決方案
rh-ruby26-ruby 的更新現在可用于 Red Hat Software Collections。
有關如何應用此更新的詳細信息(包括此通報中描述的更改),請參閱:
https://access.redhat.com/articles/11258
查看更多漏洞信息 以及升級請訪問官網:
https://access.redhat.com/security/security-updates/#/security-advisories
本文鏈接:http://www.tebozhan.com/showinfo-119-2195-0.html云安全日報220301: 紅帽Ruby腳本語言發現任意代碼執行漏洞,需要盡快升級
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 一篇帶給你Tekton系列之安裝篇
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號