操作系统--麒麟信安操作系统,国产操作系统,麒麟信安云桌面—

公告ID (KylinSec-SA-2025-2444)

摘要:

ruby security update

安全等级: High

公告ID: KylinSec-SA-2025-2444

发布日期: 2025年5月1日

关联CVE: CVE-2025-27219 CVE-2025-27221 CVE-2025-27220

详细介绍

1. 漏洞描述

Ruby 是一种快速且易于使用的解释型脚本语言，支持面向对象编程。它具有许多处理文本文件和执行系统管理任务的功能（类似 Perl）。

安全修复：

在 Ruby 的 CGI gem 0.4.2 之前版本中，CGI 库的 CGI::Cookie.parse 方法存在潜在的拒绝服务（DoS）漏洞。该方法在处理原始 cookie 值时没有对其长度施加任何限制。当解析特别大的 cookie 时，这种疏忽可能导致资源过度消耗。(CVE-2025-27219)

在 Ruby 的 CGI gem 0.4.2 之前版本中，Util#escapeElement 方法存在正则表达式拒绝服务（ReDoS）漏洞。(CVE-2025-27220)

在 Ruby 的 URI gem 1.0.3 之前版本中，URI 处理方法（URI.join、URI#merge、URI#+）存在认证凭据意外泄露问题，因为即使用户更改了主机，用户信息仍会被保留。(CVE-2025-27221)

2. 影响范围

cve名称	产品	组件	是否受影响
CVE-2025-27219	V6	ruby	Fixed
CVE-2025-27221	V6	ruby	Fixed
CVE-2025-27220	V6	ruby	Fixed

3. 影响组件

ruby

4. 修复版本

V6

软件名称	架构	版本号
ruby-help	noarch	3.2.2-149.ks6
ruby-irb	noarch	3.2.2-149.ks6
rubygem-did_you_mean	noarch	1.6.3-149.ks6
rubygem-minitest	noarch	5.16.3-149.ks6
rubygem-rake	noarch	13.0.6-149.ks6
rubygem-rdoc	noarch	6.5.0-149.ks6
rubygem-rexml	noarch	3.2.5-149.ks6
rubygem-rss	noarch	0.2.9-149.ks6
rubygem-test-unit	noarch	3.5.7-149.ks6
rubygem-typeprof	noarch	0.21.3-149.ks6
rubygems	noarch	3.4.10-149.ks6
rubygems-devel	noarch	3.4.10-149.ks6
ruby	x86_64	3.2.2-149.ks6
ruby-bundled-gems	x86_64	3.2.2-149.ks6
ruby-devel	x86_64	3.2.2-149.ks6
rubygem-bigdecimal	x86_64	3.1.3-149.ks6
rubygem-io-console	x86_64	0.6.0-149.ks6
rubygem-json	x86_64	2.6.3-149.ks6
rubygem-openssl	x86_64	3.1.0-149.ks6
rubygem-psych	x86_64	5.0.1-149.ks6
rubygem-rbs	x86_64	2.8.2-149.ks6
ruby	aarch64	3.2.2-149.ks6
ruby-bundled-gems	aarch64	3.2.2-149.ks6
ruby-devel	aarch64	3.2.2-149.ks6
rubygem-bigdecimal	aarch64	3.1.3-149.ks6
rubygem-io-console	aarch64	0.6.0-149.ks6
rubygem-json	aarch64	2.6.3-149.ks6
rubygem-openssl	aarch64	3.1.0-149.ks6
rubygem-psych	aarch64	5.0.1-149.ks6
rubygem-rbs	aarch64	2.8.2-149.ks6