1. 修復的CVE CVE-2021-41816 Ruby是松本行弘個人開發者的一種跨平臺、面向對象的動態類型編程語言。Ruby 3.0.3之前版本存在輸入驗證錯誤漏洞，該漏洞源于在傳遞非常大的數據時會導致緩沖區溢出字符串（＞700 MB）到CGI.escape_html。 CVE-2021-41819 Ruby是松本行弘個人開發者的一種跨平臺、面向對象的動態類型編程語言。Ruby 2.6.8 版本及之前版本存在安全漏洞，該漏洞源于 CGI：：Cookie.parse 錯誤處理 cookie 名稱中的安全前綴。攻擊者可利用該漏洞來欺騙cookie名稱中的安全前綴，這樣就可以欺騙易受攻擊的應用程序。 CVE-2021-41817 Ruby是松本CVE-2021-41816 Ruby是松本行弘個人開發者的一種跨平臺、面向對象的動態類型編程語言。Ruby 3.0.3之前版本存在輸入驗證錯誤漏洞，該漏洞源于在傳遞非常大的數據時會導致緩沖區溢出字符串（＞700 MB）到CGI.escape_html。 CVE-2021-41819 Ruby是松本行弘個人開發者的一種跨平臺、面向對象的動態類型編程語言。Ruby 2.6.8 版本及之前版本存在安全漏洞，該漏洞源于 CGI：：Cookie.parse 錯誤處理 cookie 名稱中的安全前綴。攻擊者可利用該漏洞來欺騙cookie名稱中的安全前綴，這樣就可以欺騙易受攻擊的應用程序。 CVE-2021-41817 Ruby是松本行弘個人開發者的一種跨平臺、面向對象的動態類型編程語言。Ruby Date Gem 中存在安全漏洞，該漏洞源于產品的日期解析方法實現存在錯誤。攻擊者可通過該漏洞導致拒絕服務。以下產品及版本受到影響：Ruby Date Gem 2.0.0 版本及之前版本、Ruby Date Gem 3.0.1 版本及之前版本、Ruby Date Gem 3.1.1 版本及之前版本、Ruby Date Gem 3.2.0 版本及之前版本。行弘個人開發者的一種跨平臺、面向對象的動態類型編程語言。Ruby Date Gem 中存在安全漏洞，該漏洞源于產品的日期解析方法實現存在錯誤。攻擊者可通過該漏洞導致拒絕服務。以下產品及版本受到影響：Ruby Date Gem 2.0.0 版本及之前版本、Ruby Date Gem 3.0.1 版本及之前版本、Ruby Date Gem 3.1.1 版本及之前版本、Ruby Date Gem 3.2.0 版本及之前版本。 CVE-2020-10663 Ruby JSON gem是一款基于Ruby的用于從文本解析JSON以及從Ruby對象生成JSON文本的軟件包。Ruby JSON gem 2.2.0及之前版本（使用在Ruby 2.4版本至2.4.9版本、2.5版本至2.5.7版本和2.6版本至2.6.5版本）中存在安全漏洞。攻擊者可利用該漏洞在目標系統中強制創建任意對象。 CVE-2020-10933 Ruby是松本行弘軟件開發者的一種跨平臺、面向對象的動態類型編程語言。 Ruby中存在安全漏洞。攻擊者可利用該漏洞獲取敏感信息。以下產品及版本受到影響：Ruby 2.5.x版本至2.5.7版本，2.6.x版本至2.6.5版本，2.7.0版本，61b7f86248bd121be2e83768be71ef289e8e5b90之前版本。 CVE-2020-25613 Ruby是松本行弘軟件開發者的一種跨平臺、面向對象的動態類型編程語言。 Ruby 2.7.1及之前版本，2.6.6及之前版本，2.5.8及之前版本存在安全漏洞，該漏洞源于WEBrick沒有嚴格檢查transfer-encoding頭值，從而允許攻擊者濫用http請求。 CVE-2022-28739 Ruby是松本行弘個人開發者的一種跨平臺、面向對象的動態類型編程語言。Ruby 存在緩沖區錯誤漏洞，該漏洞源于在 String-to-Float 轉換中，包括 Kernel＃Float 和 String＃to_f 存在緩沖區越界讀取問題。以下產品及版本受到影響：2.6.10 之前版本、2.7.6版本之前的2.7.x版本、3.0.4版本之前的3.0.x版本和3.1.2版本之前的3.1.x版本。 2. 受影響的操作系統及軟件包 ·銀河麒麟桌面操作系統V10 x86_64 架構： libruby2.3、ruby2.3-tcltk、ruby2.3 arm64 架構： libruby2.3、ruby2.3-tcltk、ruby2.3 mips64el 架構： libruby2.3、ruby2.3-tcltk、ruby2.3 3. 軟件包修復版本 ·銀河麒麟桌面操作系統V10 2.3.1-2~kord16.04.16+esm3 4. 修復方法 方法一：升級安裝 執行更新命令進行升級 $sudo apt update $sudo apt install ruby2.3 方法二：下載軟件包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包列表升級相關的組件包。 $sudo dpkg -i /Path1/Package1 /Path2/Package2 /Path3/Package3…… 注：Path 指軟件包下載到本地的路徑，Package指下載的軟件包名稱，多個軟件包則以空格分開。 5. 軟件包下載地址 銀河麒麟桌面操作系統V10 x86_64軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/libruby2.3_2.3.1-2~kord16.04.16%2Besm3_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/ruby2.3-tcltk_2.3.1-2~kord16.04.16%2Besm3_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/ruby2.3_2.3.1-2~kord16.04.16%2Besm3_amd64.deb arm64軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/libruby2.3_2.3.1-2~kord16.04.16%2Besm3_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/ruby2.3-tcltk_2.3.1-2~kord16.04.16%2Besm3_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/ruby2.3_2.3.1-2~kord16.04.16%2Besm3_arm64.deb mips64el軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/libruby2.3_2.3.1-2~kord16.04.16%2Besm3_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/ruby2.3-tcltk_2.3.1-2~kord16.04.16%2Besm3_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/r/ruby2.3/ruby2.3_2.3.1-2~kord16.04.16%2Besm3_mips64el.deb 6. 修復驗證 使用軟件包查詢命令，查看相關的軟件包版本大于或等于修復版本則成功修復。 $sudo dpkg -l |grep Package 注：Package為軟件包包名。