公告ID（KYSA-202109-1019）

摘要：ruby漏洞安全等級：中等公告ID：KYSA-202109-1019 發(fā)布日期：2021-09-10 影響CVE：CVE-2021-31799、CVE-2021-31810、CVE-2021-32066

詳細介紹

1. 修復(fù)的CVE信息

CVE-2021-31799
描述：在 6.3.1 之前的 RDoc 3.11 到 6.x 中，隨著 Ruby 到 3.0.1 分發(fā)，可以通過 | 執(zhí)行任意代碼和文件名中的標簽。
CVE-2021-31810
描述：在 Ruby 2.6.7、2.7.x 至 2.7.3 和 3.x 至 3.0.1 中發(fā)現(xiàn)了一個問題。惡意 FTP 服務(wù)器可以使用 PASV 響應(yīng)來欺騙 Net::FTP 連接回給定的 IP 地址和端口。這可能使 curl 提取有關(guān)其他私有且未公開的服務(wù)的信息（例如，攻擊者可以進行端口掃描和服務(wù)橫幅提?。?/span>
CVE-2021-32066
描述：在 Ruby 2.6.7、2.7.x 至 2.7.3 和 3.x 至 3.0.1 中發(fā)現(xiàn)了一個問題。當 StartTLS 失敗并返回未知響應(yīng)時，Net::IMAP 不會引發(fā)異常，這可能允許中間人攻擊者通過利用客戶端和注冊表之間的網(wǎng)絡(luò)位置來阻止 StartTLS 命令來繞過 TLS 保護，又名“StartTLS 剝離攻擊”。

2. 影響的操作系統(tǒng)及修復(fù)版本

銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1

ruby-2.5.8-114.ky10

ruby-debugsource-2.5.8-114.ky10

ruby-devel-2.5.8-114.ky10

ruby-help-2.5.8-114.ky10

ruby-irb-2.5.8-114.ky10

rubygem-bigdecimal-1.3.4-114.ky10

rubygem-did_you_mean-1.2.0-114.ky10

rubygem-io-console-0.4.6-114.ky10

rubygem-json-2.1.0-114.ky10

rubygem-minitest-5.10.3-114.ky10

rubygem-net-telnet-0.1.1-114.ky10

rubygem-openssl-2.1.2-114.ky10

rubygem-power_assert-1.1.1-114.ky10

rubygem-psych-3.0.2-114.ky10

rubygem-rake-12.3.0-114.ky10

rubygem-rdoc-6.0.1.1-114.ky10

rubygem-test-unit-3.2.7-114.ky10

rubygem-xmlrpc-0.3.0-114.ky10

rubygems-2.7.6-114.ky10

rubygems-devel-2.7.6-114.ky10

銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

ruby-2.5.8-114.ky10

ruby-debugsource-2.5.8-114.ky10

ruby-devel-2.5.8-114.ky10

ruby-help-2.5.8-114.ky10

ruby-irb-2.5.8-114.ky10

rubygem-bigdecimal-1.3.4-114.ky10

rubygem-did_you_mean-1.2.0-114.ky10

rubygem-io-console-0.4.6-114.ky10

rubygem-json-2.1.0-114.ky10

rubygem-minitest-5.10.3-114.ky10

rubygem-net-telnet-0.1.1-114.ky10

rubygem-openssl-2.1.2-114.ky10

rubygem-power_assert-1.1.1-114.ky10

rubygem-psych-3.0.2-114.ky10

rubygem-rake-12.3.0-114.ky10

rubygem-rdoc-6.0.1.1-114.ky10

rubygem-test-unit-3.2.7-114.ky10

rubygem-xmlrpc-0.3.0-114.ky10

rubygems-2.7.6-114.ky10

rubygems-devel-2.7.6-114.ky10

3. 受影響的軟件包

銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1

aarch64:ruby、ruby-debugsource、ruby-devel、ruby-help、ruby-irb、rubygem-bigdecimal、rubygem-did_you_mean、rubygem-io-console、rubygem-json、rubygem-minitest、rubygem-net-telnet、rubygem-openssl、rubygem-power_assert、rubygem-psych、rubygem-rake、rubygem-rdoc、rubygem-test-unit、rubygem-xmlrpc、rubygems、rubygems-devel
x86_64:ruby、ruby-debugsource、ruby-devel、ruby-help、ruby-irb、rubygem-bigdecimal、rubygem-did_you_mean、rubygem-io-console、rubygem-json、rubygem-minitest、rubygem-net-telnet、rubygem-openssl、rubygem-power_assert、rubygem-psych、rubygem-rake、rubygem-rdoc、rubygem-test-unit、rubygem-xmlrpc、rubygems、rubygems-devel

銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

aarch64:ruby、ruby-debugsource、ruby-devel、ruby-help、ruby-irb、rubygem-bigdecimal、rubygem-did_you_mean、rubygem-io-console、rubygem-json、rubygem-minitest、rubygem-net-telnet、rubygem-openssl、rubygem-power_assert、rubygem-psych、rubygem-rake、rubygem-rdoc、rubygem-test-unit、rubygem-xmlrpc、rubygems、rubygems-devel
x86_64:ruby、ruby-debugsource、ruby-devel、ruby-help、ruby-irb、rubygem-bigdecimal、rubygem-did_you_mean、rubygem-io-console、rubygem-json、rubygem-minitest、rubygem-net-telnet、rubygem-openssl、rubygem-power_assert、rubygem-psych、rubygem-rake、rubygem-rdoc、rubygem-test-unit、rubygem-xmlrpc、rubygems、rubygems-devel

4. 修復(fù)方法

方法一：配置源進行升級安裝

1.打開軟件包源配置文件，根據(jù)倉庫地址進行修改。

倉庫源地址：

銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1

aarch64:http://update.cs2c.com.cn:8080/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/

x86_64:http://update.cs2c.com.cn:8080/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/

銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

aarch64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/

x86_64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/

2.配置完成后執(zhí)行更新命令進行升級，命令如下：yum update Packagename

方法二：下載安裝包進行升級安裝