在 ruby 中发现并修正了一个漏洞：

Ruby 1.8、1.9.3-p484 之前的 1.9 版本、2.0.0-p353 之前的 2.0 版本、2.1.0 preview2 之前的 2.1 版本以及 43780 修订版之前的中继版本中存在基于堆的缓冲区溢出，允许上下文有关的攻击者通过被转换为浮点值的字符串造成拒绝服务（分段错误）并可能执行任意代码，这一点已通过 (1) to_f 方法或 (2) JSON.parse 证实 (CVE-2013-4164)。

更新后的程序包已进行修补，以修正这些问题。

Charlie Somerville 发现 Ruby 未正确处理浮点数转换。攻击者可能会通过将文本转换为浮点数的应用程序来利用此问题使该应用程序崩溃，从而导致拒绝服务或者可能执行任意代码。(CVE-2013-4164)

Vit Ondruch 发现 Ruby 未对某些函数执行感染检查。攻击者可能会使用此问题来绕过某些预期限制。(CVE-2013-2065)。

在 Fedora 19 目前提供的 Ruby 中发现了浮点数解析溢出。已为此漏洞分配 CVE 标识符 CVE-2013-4164。

此新 rpm 应修复此问题。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

根据其自我报告的版本号，远程主机上安装的 Puppet Enterprise 3.x 版本低于3.1.1。因此，有报告称它受到多种漏洞的影响：

- 存在与包括的 Ruby 版本以及字符串到浮点转换处理相关的输入验证错误，可允许拒绝服务攻击或任意代码执行。(CVE-2013-4164)

- 存在与包括的 RubyGems 版本以及“gem build”、“Gem::Package”和“Gem::PackageTask”API 调用相关的错误，可允许拒绝服务攻击。(CVE-2013-4363)

- 在适用于 Ruby 的“i18n” gem 中存在错误，可允许跨站脚本攻击。(CVE-2013-4491)

- 存在与处理临时文件相关的错误，可允许本地攻击者通过使用符号链接攻击覆盖文件。(CVE-2013-4969)

- 存在与 Rails 中包括的 Ruby、“Action View”以及某些标头处理相关的错误，可允许拒绝服务攻击。(CVE-2013-6414)

- 存在与 Rails 中包括的 Ruby 以及“number_to_currency”帮助程序中的“unit”参数相关的输入验证错误，可允许跨站脚本攻击。(CVE-2013-6415)

- 存在与 Rails 中包括的 Ruby、JSON 参数解析和 SQL 查询相关的输入验证错误，可允许 SQL 注入攻击。
 (CVE-2013-6417)

修复了 ruby19 中的以下安全问题：

修复了 ruby20 中的以下安全问题：

- 修复 CVE-2013-4164：浮点解析中的堆溢出 (bnc#851803) 文件 CVE-2013-4164.patch 包含该修补程序

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:0011 公告中提及的漏洞的影响。

    Ruby 是一种可扩展的直译式面向对象的脚本语言。
    它具有处理文本文件和执行系统管理任务的功能。

    在 Ruby 从其文本表示解析浮点数的方式中发现缓冲区溢出缺陷。如果使用 Ruby 的应用程序接受不受信任的输入字符串并将其转换为浮点数，提供此类输入的攻击者可导致应用程序崩溃，或可能以应用程序的权限执行任意代码。 (CVE-2013-4164)

    建议 Red Hat OpenStack 3.0 用户升级这些更新后的程序包，其中修正了此问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Solaris 系统缺少用于处理安全更新的必要修补程序：

  - Ruby 1.8、1.9.3-p484 之前的 1.9、2.0.0-p353 之前的 2.0、2.1.0 preview2 之前的 2.1 以及 43780 修订版之前的中继版本中存在基于堆的缓冲区溢出，允许上下文有关的攻击者通过转换成浮点值的字符串造成拒绝服务（分段错误）并执行任意代码，这一点已通过使用 (1) to_f 方法或 (2) JSON.parse 证实。(CVE-2013-4164)

远程主机受到 GLSA-201412-27 中所述漏洞的影响（Ruby：拒绝服务）

已在 Ruby 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

上下文有关的攻击者可能以进程的权限执行任意代码，从而造成拒绝服务情况，或绕过安全限制。
 变通方案：

目前无任何已知的变通方案。

The remote host is running a version of Mac OS X that is older than 10.9.3, and is thus missing security-related fixes for the following components:

  - CFNetwork HTTPProtocol
  - CoreServicesUIAgent
  - FontParser
  - Heimdal Kerberos
  - ImageIO
  - Intel Graphics Driver
  - IOKit Kernel
  - Kernel
  - Power Management
  - Ruby
  - Security
  - Secure Transport
  - Window Server

Note that successful exploitation of the most serious issues could result in arbitrary code execution.

ID	Name	Product	Family	Published	Updated	Severity
71100	Mandriva Linux 安全公告：ruby (MDVSA-2013:286)	Nessus	Mandriva Local Security Checks	11/27/2013	1/6/2021	medium
71139	Ubuntu 12.04 LTS / 12.10 / 13.04 / 13.10：ruby1.8、ruby1.9.1 漏洞 (USN-2035-1)	Nessus	Ubuntu Local Security Checks	11/29/2013	9/19/2019	medium
71328	Fedora 18：ruby-1.9.3.484-32.fc18 (2013-22315)	Nessus	Fedora Local Security Checks	12/11/2013	1/11/2021	medium
73132	Puppet Enterprise 3.x < 3.1.1 多种漏洞	Nessus	CGI abuses	3/21/2014	1/19/2021	medium
75221	openSUSE 安全更新：ruby19 (openSUSE-SU-2013:1835-1)	Nessus	SuSE Local Security Checks	6/13/2014	1/19/2021	medium
75224	openSUSE 安全更新：ruby20 (openSUSE-SU-2013:1834-1)	Nessus	SuSE Local Security Checks	6/13/2014	1/19/2021	medium
234422	RHEL 6：ruby193-ruby (RHSA-2014:0011)	Nessus	Red Hat Local Security Checks	4/15/2025	4/15/2025	critical
80758	Oracle Solaris 第三方修补程序更新：ruby (cve_2013_4164_buffer_errors)	Nessus	Solaris Local Security Checks	1/19/2015	1/14/2021	medium
79980	GLSA-201412-27：Ruby：拒绝服务	Nessus	Gentoo Local Security Checks	12/15/2014	1/6/2021	high
8265	Mac OS X < 10.9.3 Multiple Vulnerabilities (Security Update 2014-002)	Nessus Network Monitor	Web Clients	5/27/2014	3/6/2019	critical

Detections

Analytics

Plugins Search

medium

medium

medium

medium

medium

medium

critical

medium

high

critical