2013-2120: RubyGems-Actionpack: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe, XSS oder Ausführung von Code
Historie:
- Version 1 (2013-12-27 12:56)
- Neues Advisory
- Version 2 (2014-01-06 16:21)
- Neuere Versionen des rubygem-actionpack-3_2 sind für openSUSE 12.2, 12.3 und 13.1 verfügbar gemacht worden.
- Version 3 (2014-02-03 14:55)
- In den SUSE-Produkte WebYaST 1.3, Studio Onsite 1.3 und Lifecycle Management Server 1.3 wurden die Schwachstellen ebenfalls behoben. Die Schwachstelle CVE-2013-4389 ist in diesen Produkten nicht vorhanden.
- Version 4 (2014-03-28 12:43)
- Debian stellt Sicherheitsupdates für die Version 7.4 (wheezy) bereit.
- Version 5 (2014-05-22 13:05)
- SUSE stellt Sicherheitsupdates für SUSE Linux Enterprise High Availability Extension 11 SP3 bereit.
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in RubyGems-Actionpack ermöglichen einem entfernten, nicht authentifizierten Angreifer die Durchführung von Denial-of-Service- oder Cross-Site-Scripting-Angriffen oder die Ausführung von beliebigem Code.
Schwachstellen:
CVE-2013-0155
Unterschiedlliche Parameterbehandlung zwischen Active Record und JSON-ImplementierungCVE-2013-4389
Schwachstelle in Action MailerCVE-2013-4491
XSS durch Internationalisierungskomponente von Ruby on RailsCVE-2013-6414
Denial-of-Service bei Action ViewCVE-2013-6415
XSS durch number_to_currencyCVE-2013-6417
Unsichere JSON-Parameterübergabe bei Rack::Request-Schnittstelle
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.