服务支持

cve

安全补丁公告

当前位置  >  首页  >  服务支持  >  安全补丁公告

公告ID(KYSA-202107-0012

摘要:ruby安全漏洞 安全等级:中等 公告ID:KYSA-202107-0012 发布日期:2021-11-22 影响CVE:CVE-2021-31799、CVE-2021-32066、CVE-2021-31810

详细介绍

1. 修复的CVE信息

  • CVE-2021-31799

    Ruby是松本行弘个人开发者的一种跨平台、面向对象的动态类型编程语言。Ruby 存在命令注入漏洞,该漏洞源于输入验证不正确,未经身份验证的远程攻击者可利用该漏洞可以将专门设计的数据传递给应用程序,并在目标系统上执行任意命令。以下产品及版本受到影响:RDoc: 3.11, 3.12, 3.12.1, 3.12.2, 4.0.0, 4.0.0 rc.2, 4.0.0 rc.2.1, 4.0.0.preiew2, 4.0.0.preiew2.1, 4.0.1, 4.1.0, 4.1.0.preiew.1, 4.1.0.preiew.3, 4.1.1, 4.1.2, 4.2.0, 4.2.1, 4.2.2, 4.3.0, 5.0.0, 5.0.0 beta1, 5.0.0 beta2, 5.0.1, 5.1.0, 6.0.0, 6.0.0 beta1, 6.0.0 beta2, 6.0.0 beta3, 6.0.0 beta4, 6.0.1, 6.0.1.1, 6.0.2, 6.0.3, 6.0.4, 6.1.0, 6.1.0 beta1, 6.1.0 beta2, 6.1.0 beta3, 6.1.1, 6.1.2, 6.2.0, 6.2.1, 6.3.0。

  • CVE-2021-32066

    Ruby是松本行弘个人开发者的一种跨平台、面向对象的动态类型编程语言。Ruby存在加密问题漏洞,该漏洞源于 StartTLS 因未知响应而失败时,Net::IMAP 不会引发异常。这可能允许中间人阻止 StartTLS 命令来绕过 TLS 保护,又名“StartTLS 剥离攻击”。

  • CVE-2021-31810

    Ruby是松本行弘个人开发者的一种跨平台、面向对象的动态类型编程语言。Ruby 存在安全漏洞。恶意 FTP 服务器可以使用 PASV 响应来欺骗 Net::FTP 连接给定的 IP 地址和端口。


2. 影响的操作系统

银河麒麟桌面操作系统V4 SP1

银河麒麟桌面操作系统V4 SP2

银河麒麟桌面操作系统V4 SP3

银河麒麟桌面操作系统V4 SP4

银河麒麟桌面操作系统V10

银河麒麟服务器操作系统V4 SP1

银河麒麟服务器操作系统V4 SP2

银河麒麟服务器操作系统V4 SP3

银河麒麟服务器操作系统V4 SP4

银河麒麟桌面操作系统V10专业版


3. 修复版本

软件包:ruby2.7

2.7.0-5kylin1.5(V10专业版)

软件包:ruby2.3

2.3.1-2~kord16.04.16+esm1(V4、V10)


4. 受影响的软件包

  • 银河麒面操作系统V10桌面版、V4

libruby2.3

libruby2.3-db

ruby2.3-dev

ruby2.3-tcltk

ruby2.3

  • 银河麒麟桌面操作系统V10专业版

libruby2.7

ruby2.7

ruby2.7-dev

ruby2.7-doc


5. 修复方法

方法一:配置源进行升级安装

打开软件包源配置文件,根据仓库地址进行修改。

4.0.2-sp1:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse

4.0.2-sp2:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse

4.0.2-sp3:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse

4.0.2-sp4:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse

10.0:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse

10.0 SP1:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse

配置完成后执行更新命令进行升级。$sudo apt update

方法二:下载安装包进行升级安装

通过软件包地址下载软件包,使用软件包升级命令根据受影响的组件包列表 升级相关的组件包。$dpkg -i Packagelists


6. 软件包下载地址



上一篇: KYSA-202107-0007 下一篇: KYSA-202107-0011

试用

服务

动态

联系