2013-2120: RubyGems-Actionpack: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe, XSS oder Ausführung von Code

Historie:

Version 1 (2013-12-27 12:56)

Neues Advisory

Version 2 (2014-01-06 16:21)

Neuere Versionen des rubygem-actionpack-3_2 sind für openSUSE 12.2, 12.3 und 13.1 verfügbar gemacht worden.

Version 3 (2014-02-03 14:55)

In den SUSE-Produkte WebYaST 1.3, Studio Onsite 1.3 und Lifecycle Management Server 1.3 wurden die Schwachstellen ebenfalls behoben. Die Schwachstelle CVE-2013-4389 ist in diesen Produkten nicht vorhanden.

Version 4 (2014-03-28 12:43)

Debian stellt Sicherheitsupdates für die Version 7.4 (wheezy) bereit.

Version 5 (2014-05-22 13:05)

SUSE stellt Sicherheitsupdates für SUSE Linux Enterprise High Availability Extension 11 SP3 bereit.

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in RubyGems-Actionpack ermöglichen einem entfernten, nicht authentifizierten Angreifer die Durchführung von Denial-of-Service- oder Cross-Site-Scripting-Angriffen oder die Ausführung von beliebigem Code.

Schwachstellen:

CVE-2013-0155

Unterschiedlliche Parameterbehandlung zwischen Active Record und JSON-Implementierung

CVE-2013-4389

Schwachstelle in Action Mailer

CVE-2013-4491

XSS durch Internationalisierungskomponente von Ruby on Rails

CVE-2013-6414

Denial-of-Service bei Action View

CVE-2013-6415

XSS durch number_to_currency

CVE-2013-6417

Unsichere JSON-Parameterübergabe bei Rack::Request-Schnittstelle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.