2013-2036: Ruby on Rails, Rubygems: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes und andere Angriffe

Historie:

Version 1 (2013-12-08 17:09)

Neues Advisory

Version 2 (2013-12-20 13:02)

Für openSUSE sind entsprechende Patches verfügbar gemacht worden. Hierbei wird zeitgleich auch die CVE-2013-0155 geschlossen.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Durch die Schwachstellen können entfernte, nicht authentifizierte Angreifer beliebige Befehle zur Ausführung zu bringen. Außerdem werden Cross-Side-Scripting- und Denial-of-Service-Angriffe möglich.

Schwachstellen:

CVE-2013-0155

Unterschiedlliche Parameterbehandlung zwischen Active Record und JSON-Implementierung

CVE-2013-4491

XSS durch Internationalisierungskomponente von Ruby on Rails

CVE-2013-6414

Denial-of-Service bei Action View

CVE-2013-6415

XSS durch number_to_currency

CVE-2013-6417

Unsichere JSON-Parameterübergabe bei Rack::Request-Schnittstelle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.