2013-1984: Ruby: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2013-11-26 19:47)

Neues Advisory

Version 2 (2013-11-28 15:00)

Canonical stellt nun aktualisierte Pakete für Ubuntu zur Verfügung.

Version 3 (2013-12-02 12:41)

Die Schwachstelle CVE-2013-4164 ist in den Distribution Fedora 18, 19 und 20 behoben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer, der Eingaben an eine verwundbare Ruby-Anwendung schicken kann, kann diese Anwendung damit zum Absturz oder beliebigen Code zur Ausführung bringen.

Im Gegensatz zu Red Hat Enterprise Linux sind Ubuntu und Fedora nur von der Schwachstelle CVE-2013-4164 betroffen.

Schwachstellen:

CVE-2013-2065

Keine Prüfung von als 'tainted' markierten Eingaben

CVE-2013-4164

Pufferüberlauf beim Parsen von Gleitkommazahlen in Ruby

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.