DFN-CERT

Advisory-Archiv

2018-0403: Ruby, RubyGems: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-03-01 11:34)
Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Mehrere Schwachstellen in Ruby und RubyGems ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und damit möglicherweise die Übernahme des Systems sowie verschiedene Denial-of-Service (DoS)-Angriffe. Weitere Schwachstellen ermöglichen dem Angreifer das Ausspähen von Informationen, die Manipulation von Dateien sowie die Darstellung falscher Informationen. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer ebenfalls das Ausspähen von Informationen.

Für Red Hat Enterprise Linux (RHEL) 7 und Oracle Linux 7 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit. Die Sicherheitsupdates sind damit unter anderem für Red Hat Enterprise Linux Desktop, Workstation und Server in Version 7 sowie für die speziellen RHEL Server Editionen AUS 7.4, EUS 7.4, 4 year EUS 7.4, TUS 7.4 und zusätzlich für Red Hat Enterprise Linux for ARM 64 und Red Hat Enterprise Linux for Scientific Computing 7 zur Verfügung.

Schwachstellen:

CVE-2017-0898

Schwachstelle in Ruby ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-0899

Schwachstelle in RubyGems ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-0900

Schwachstelle in RubyGems ermöglicht Denial-of-Service-Angriff

CVE-2017-0901

Schwachstelle in RubyGems ermöglicht Manipulation von Dateien

CVE-2017-0902

Schwachstelle in RubyGems ermöglicht Darstellung falscher Informationen

CVE-2017-0903

Schwachstelle in RubyGems ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-10784

Schwachstelle in Ruby ermöglicht Ausführung beliebiger Befehle

CVE-2017-14033

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2017-14064

Schwachstelle in Ruby ermöglicht Ausspähen von Informationen

CVE-2017-17405

Schwachstelle in Ruby ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-17790

Schwachstelle in Ruby ermöglicht Ausführung beliebiger Befehle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.