CVE-2013-0155 和 CVE-2013-0156 的补丁。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

远程主机正在运行的 Mac OS X 10.6 或 10.7 版本未应用安全更新 2013-002。此更新包含针对以下组件的大量安全相关补丁：

- CoreMedia Playback（仅 10.7）
 - Directory Service（仅 10.6）
 - OpenSSL
 - QuickDraw Manager
 - QuickTime
 - Ruby（仅 10.6）
 - SMB（仅 10.7）

- 修正 CVE-2013-4491：rubygem-actionpack：i18n 遺漏的轉譯 XSS (bnc#853625)。檔案 CVE-2013-4491.patch 包含修補程式

- 修正 CVE-2013-6414：rubygem-actionpack：動作檢視 DoS (bnc#853633)。檔案 CVE-2013-6414.patch 包含修補程式。

- 修正 CVE-2013-6415：rubygem-actionpack：
 number_to_currency XSS (bnc#853632)。檔案 CVE-2013-6415.patch 包含修補程式。

- 修正 CVE-2013-6417：rubygem-actionpack：不安全的查詢產生風險 (不完整的 CVE-2013-0155 修正) (bnc#853627)。檔案 CVE-2013-6417.patch 包含修補程式。

此更新可修正 rubygem-actionpack-3_2 的下列安全性問題：

- 修正 CVE-2013-4389：rubygem-actionmailer-3_1：記錄訂閱者元件的潛在 DoS 弱點 (bnc#846239) 檔案 CVE-2013-4389.patch 內含修正。

- 修正 CVE-2013-4491：rubygem-actionpack：i18n 遺漏的轉譯 XSS (bnc#853625)。檔案 CVE-2013-4491.patch 包含修補程式

- 修正 CVE-2013-6414：rubygem-actionpack：動作檢視 DoS (bnc#853633)。檔案 CVE-2013-6414.patch 包含修補程式。

- 修正 CVE-2013-6415：rubygem-actionpack：
 number_to_currency XSS (bnc#853632)。檔案 CVE-2013-6415.patch 包含修補程式。

- 修正 CVE-2013-6417：rubygem-actionpack：不安全的查詢產生風險 (不完整的 CVE-2013-0155 修正) (bnc#853627)。檔案 CVE-2013-6417.patch 包含修補程式。

現已提供適用於 Red Hat Subscription Asset Manager 的更新版 rubygem-actionpack、rubygem-activesupport 和 rubygem-activerecord 套件，可修正多個安全性問題。

Red Hat 安全性回應團隊已將此更新評為具有重大安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Ruby on Rails 是一種適用於 Web 應用程式開發的模型檢視控制器 (MVC) 架構。Action Pack 可實作控制器和檢視元件。Active Record 會實作物件關聯式對應，以使用物件存取資料庫項目。Active Support 可提供 Ruby on Rails 架構使用的支援與公用程式類別。

在 Ruby on Rails 於 HTTP 要求中執行 XML 參數剖析的方式中發現多個瑕疵。遠端攻擊者可利用這些瑕疵，以 Ruby on Rails 應用程式的權限執行任意程式碼、執行 SQL 插入攻擊，或使用特製的 HTTP 要求繞過驗證。(CVE-2013-0156)

Red Hat 已覺察 CVE-2013-0156 問題會遭到公開惡意利用，使得遠端程式碼能在使用 Ruby on Rails 的應用程式中執行。

在 rubygem-activerecord 中發現多個輸入驗證弱點。遠端攻擊者可能會利用這些瑕疵，針對使用 rubygem-activerecord 的應用程式，執行 SQL 插入攻擊。(CVE-2012-2661、CVE-2012-2695、CVE-2012-6496、CVE-2013-0155)

在 rubygem-actionpack 中發現多個輸入驗證弱點。遠端攻擊者可能會利用這些瑕疵，針對使用 rubygem-actionpack 和 rubygem-activerecord 的應用程式，執行 SQL 插入攻擊。(CVE-2012-2660、CVE-2012-2694)

在 rubygem-actionpack 中發現多個跨網站指令碼 (XSS) 瑕疵。遠端攻擊者可利用這些瑕疵，針對使用 rubygem-actionpack 之應用程式的使用者，進行 XSS 攻擊。
(CVE-2012-3463、CVE-2012-3464、CVE-2012-3465)

在 rubygem-actionpack 的 HTTP 摘要式驗證實作中發現一個瑕疵。遠端攻擊者可利用此瑕疵，在使用 rubygem-actionpack 和摘要式驗證的應用程式上造成拒絕服務。(CVE-2012-3424)

建議使用者升級至這些更新版 rubygem-actionpack、rubygem-activesupport 和 rubygem-activerecord 套件，其可解決這些問題。必須重新啟動 Katello ('service katello restart')，此更新才會生效。

現已提供 Red Hat OpenShift Enterprise 1.1.1。Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。OpenShift Enterprise 是 Red Hat 的一種雲端運算平台即服務 (PaaS) 解決方案，專門針對內部部署或私有雲端部署而設計。安裝更新版套件並重新啟動 OpenShift 服務是此更新的唯一要求。但是，如果您要在套用 OpenShift Enterprise 1.1.1 更新時，將系統更新為 Red Hat Enterprise Linux 6.4，建議您重新啟動系統。如需有關本版本的進一步資訊，請參閱 OpenShift Enterprise 1.1.1 技術提示，此技術提示不久將可從下列網址取得：https://access.redhat.com/knowledge/docs/ 此更新也可修正下列安全性問題：在 rubygem-actionpack 中發現多個跨網站指令碼 (XSS) 缺陷。遠端攻擊者可利用這些缺陷，針對使用 rubygem-actionpack 之應用程式的使用者，進行 XSS 攻擊。(CVE-2012-3463、CVE-2012-3464、CVE-2012-3465) 據發現，特定方法在傳遞檔案名稱至 Ruby 中的較低層常式之前，並未先清理檔案名稱。如果 Ruby 應用程式以未受信任的輸入名稱建立檔案，可導致所建立之檔案的名稱與預期名稱有所不同。(CVE-2012-4522) 在 Ruby 的關聯陣列 (雜湊) 實作中，發現了拒絕服務缺陷。將資料插入陣列時，攻擊者若能對 Ruby 應用程式提供大量輸入 (例如，傳送至網路應用程式的 HTTP POST 要求參數) 作為金鑰使用，便可觸發多個雜湊函式衝突，使陣列作業耗用大量 CPU 時間。為了減輕此問題，已使用一種新的、更能防衝突的演算法，以降低攻擊者成功引發有意衝突的機會。(CVE-2012-5371) 在 rubygem-activerecord 中發現輸入驗證弱點。遠端攻擊者可能會利用這些缺陷，針對使用 rubygem-activerecord 的應用程式，執行 SQL 插入攻擊。(CVE-2012-2661、CVE-2012-2695、CVE-2013-0155) 在 rubygem-actionpack 中發現輸入驗證弱點。遠端攻擊者可能會利用這些缺陷，針對使用 rubygem-actionpack 和 rubygem-activerecord 的應用程式，執行 SQL 插入攻擊。(CVE-2012-2660、CVE-2012-2694) 在 rubygem-actionpack 的 HTTP 摘要式驗證實作中發現一個缺陷。遠端攻擊者可利用此缺陷，在使用 rubygem-actionpack 和摘要式驗證的應用程式上造成拒絕服務。(CVE-2012-3424) 在 Ruby 安全層級 4 的字串處理中發現一個缺陷。遠端攻擊者可利用 Exception#to_s 以破壞性的方式修改未受污染的字串，使其受到污染，之後就可以任意修改該字串。(CVE-2012-4466) 在例外狀況訊息轉譯為「Ruby 例外狀況」類別的字串的方式中發現一個缺陷。遠端攻擊者可利用此缺陷繞過安全層級 4 限制，允許不受信任 (受污染) 的程式碼修改受信任 (未受污染) 的任意字串，以其他方式防止安全層級 4 限制。(CVE-2012-4464) 據發現，rubygem-ruby_parser 的 ruby_parser 以一種不安全的方式建立了暫存檔。本機攻擊者可利用此缺陷執行符號連結攻擊，從而覆寫使用 ruby_parser 之應用程式可存取的任意檔案。(CVE-2013-0162) CVE-2013-0162 問題是由 Red Hat 區域 IT 團隊的 Michael Scherer 所發現的。建議使用者升級至 Red Hat OpenShift Enterprise 1.1.1。

ID	Name	Product	Family	Published	Updated	Severity
63635	Fedora 18：rubygem-actionpack-3.2.8-2.fc18 / rubygem-activerecord-3.2.8-3.fc18 等 (2013-0568)	Nessus	Fedora Local Security Checks	1/21/2013	1/11/2021	high
66809	Mac OS X 多种漏洞（安全更新 2013-002）	Nessus	MacOS X Local Security Checks	6/5/2013	5/28/2024	critical
75237	openSUSE 安全性更新：rubygem-actionpack-3_2 (openSUSE-SU-2013:1906-1)	Nessus	SuSE Local Security Checks	6/13/2014	1/19/2021	medium
75284	openSUSE 安全性更新：rubygem-actionpack-3_2 (openSUSE-SU-2014:0009-1)	Nessus	SuSE Local Security Checks	6/13/2014	1/19/2021	medium
64076	RHEL 6：Subscription Asset Manager 中的 Ruby on Rails (RHSA-2013:0154)	Nessus	Red Hat Local Security Checks	1/24/2013	1/14/2021	high
119432	RHEL 6：openshift (RHSA-2013:0582)	Nessus	Red Hat Local Security Checks	12/6/2018	7/17/2024	high

Detections

Analytics

Plugins Search

high

critical

medium

medium

high

high