Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2009-5147

Опубликовано: 11 мая 2009
Источник: redhat
CVSS2: 2.6
EPSS Средний

Уязвимость открытия библиотек с небезопасными именами в "DL::dlopen" Ruby, позволяющая загружать библиотеки с потенциально опасными именами

Описание

Обнаружена уязвимость в методе DL::dlopen в Ruby. Метод открывает библиотеки, даже если их имена помечены как "загрязнённые" (tainted), что может привести к загрузке библиотек с потенциально опасными или непроверенными именами.

Заявление

Служба безопасности Red Hat оценила эту проблему как имеющую низкое влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях. Для получения дополнительной информации обратитесь к классификации серьёзности проблем.

Затронутые версии ПО

  • Ruby 1.8
  • Ruby 1.9.0
  • Ruby 1.9.2
  • Ruby 1.9.3
  • Ruby 2.0.0 до патча 648
  • Ruby 2.1 до версии 2.1.8

Тип уязвимости

Загрузка небезопасных библиотек

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
CloudForms Management Engine 5ruby193-rubyWill not fix
Red Hat Enterprise Linux 4rubyWill not fix
Red Hat Enterprise Linux 5rubyWill not fix
Red Hat Enterprise Linux 6rubyWill not fix
Red Hat Enterprise Linux 7rubyWill not fix
Red Hat Software Collectionsrh-ruby22-rubyWill not fix
Red Hat Software Collectionsruby193-rubyWill not fix
Red Hat Software Collectionsruby200-rubyWill not fix
Red Hat Subscription Asset Managerruby193-rubyWill not fix
Red Hat Software Collections for Red Hat Enterprise Linux 6rh-ruby22-rubyFixedRHSA-2018:058326.03.2018

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low
Дефект:
CWE-267
https://bugzilla.redhat.com/show_bug.cgi?id=1248935ruby: DL:: dlopen could open a library with tainted library name

EPSS

Процентиль: 98%
0.52002
Средний

2.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2009-5147

CVSS3: 7.3
ubuntu
больше 8 лет назад

DL::dlopen in Ruby 1.8, 1.9.0, 1.9.2, 1.9.3, 2.0.0 before patchlevel 648, and 2.1 before 2.1.8 opens libraries with tainted names.

nvd логотип

CVE-2009-5147

CVSS3: 7.3
nvd
больше 8 лет назад

DL::dlopen in Ruby 1.8, 1.9.0, 1.9.2, 1.9.3, 2.0.0 before patchlevel 648, and 2.1 before 2.1.8 opens libraries with tainted names.

debian логотип

CVE-2009-5147

CVSS3: 7.3
debian
больше 8 лет назад

DL::dlopen in Ruby 1.8, 1.9.0, 1.9.2, 1.9.3, 2.0.0 before patchlevel 6 ...

github логотип

GHSA-mmq8-m72q-qgm4

CVSS3: 7.3
github
больше 3 лет назад

DL::dlopen in Ruby 1.8, 1.9.0, 1.9.2, 1.9.3, 2.0.0 before patchlevel 648, and 2.1 before 2.1.8 opens libraries with tainted names.

EPSS

Процентиль: 98%
0.52002
Средний

2.6 Low

CVSS2