2013-2018: Ruby: Mehrere Schwachstellen ermöglichen Denial-of-Service und Ausführung beliebiger Anweisungen

Historie:

Version 1 (2013-12-05 20:00)

Neues Advisory

Version 2 (2014-08-05 13:35)

Für SUSE Linux Enterprise Server 11 SP2 LTSS steht ein Sicherheitsupdate bereit.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer, der Eingaben an eine verwundbare Ruby-Anwendung schicken kann, kann diese Anwendung damit zum Absturz oder beliebigen Code zur Ausführung bringen.

Für Debian und Ruby-1.9.x ist im Gegensatz zu Ruby-1.8.x nur die CVE-2013-4164 relevant. Daher wurden zeitgleich zwei Patchmeldungen herausgegeben, bitte beachten Sie entsprechend die dortigen Angaben zu den konkreten Versionsnummern!

Schwachstellen:

CVE-2013-1821

Fehlerhafte Behandlung von XML-Expansionen durch REXML

CVE-2013-4073

Schwachstelle in Ruby ermöglicht Zugriff auf vertrauliche Daten

CVE-2013-4164

Pufferüberlauf beim Parsen von Gleitkommazahlen in Ruby

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.