2014-0259: RubyGems Active Record und Action Pack: Schwachstellen ermöglichen Ausführung beliebiger Befehle

Historie:

Version 1 (2014-03-03 17:11)

Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen.

Fedora schließt ausschließlich in Fedora 19 die Sicherheitslücke CVE-2014-0082 und ausschließlich in Fedora 20 die Sicherheitslücke CVE-2014-0080.

Schwachstellen:

CVE-2013-4491

XSS durch Internationalisierungskomponente von Ruby on Rails

CVE-2013-6414

Denial-of-Service bei Action View

CVE-2013-6415

XSS durch number_to_currency

CVE-2013-6417

Unsichere JSON-Parameterübergabe bei Rack::Request-Schnittstelle

CVE-2014-0080

RubyGems Active Record: Schwachstelle ermöglicht SQL-Injection

CVE-2014-0081

Cross-Site-Scripting (XSS)-Schwachstellen in Ruby on Rails

CVE-2014-0082

DoS-Schwachstelle in rubygem-actionpack

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.