2017-1705: Ruby: Mehrere Schwachstellen ermöglichen u.a. das Injizieren von Befehlen

Historie:

Version 1 (2017-09-28 10:53)

Neues Advisory

Version 2 (2017-10-06 12:11)

Für Fedora 26 steht das Paket 'ruby-2.4.2-84.fc26' als Sicherheitsupdate im Status 'testing' bereit, mit dem die Schwachstellen CVE-2017-0898, CVE-2017-10784 und CVE-2017-14033 adressiert und behoben werden.

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft
UNIX

Beschreibung:

Mehrere Schwachstellen in Ruby ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service-Angriffe, das Injizieren von Befehlen sowie das Ausspähen von Informationen.

Zur Behebung der Schwachstellen stehen die Ruby Versionen 2.4.2, 2.3.5 und 2.2.8 zur Verfügung.

Für Fedora 27 steht Ruby in der Version 2.4.2 als Sicherheitsupdate im Status 'testing' bereit.

Schwachstellen:

CVE-2017-0898

Schwachstelle in Ruby ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-10784

Schwachstelle in Ruby ermöglicht Ausführung beliebiger Befehle

CVE-2017-14033

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2017-14064

Schwachstelle in Ruby ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.