2013-2018: Ruby: Mehrere Schwachstellen ermöglichen Denial-of-Service und Ausführung beliebiger Anweisungen
Historie:
- Version 1 (2013-12-05 20:00)
- Neues Advisory
- Version 2 (2014-08-05 13:35)
- Für SUSE Linux Enterprise Server 11 SP2 LTSS steht ein Sicherheitsupdate bereit.
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Beschreibung:
Ein entfernter, nicht authentifizierter Angreifer, der Eingaben an eine verwundbare Ruby-Anwendung schicken kann, kann diese Anwendung damit zum Absturz oder beliebigen Code zur Ausführung bringen.
Für Debian und Ruby-1.9.x ist im Gegensatz zu Ruby-1.8.x nur die CVE-2013-4164 relevant. Daher wurden zeitgleich zwei Patchmeldungen herausgegeben, bitte beachten Sie entsprechend die dortigen Angaben zu den konkreten Versionsnummern!
Schwachstellen:
CVE-2013-1821
Fehlerhafte Behandlung von XML-Expansionen durch REXMLCVE-2013-4073
Schwachstelle in Ruby ermöglicht Zugriff auf vertrauliche DatenCVE-2013-4164
Pufferüberlauf beim Parsen von Gleitkommazahlen in Ruby
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.