2018-0599: Ruby: Mehrere Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff
Historie:
- Version 1 (2018-04-03 18:34)
- Neues Advisory
- Version 2 (2018-04-23 12:00)
- Für Fedora 26 und 27 stehen Sicherheitsupdates im Status 'testing' bereit, mit denen Ruby auf Version 2.4.4 aktualisiert wird.
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein vermutlich entfernter, nicht authentisierter Angreifer kann mit Hilfe präparierter Ruby-Kommandos einen kompletten Denial-of-Service (DoS)-Zustand herbeiführen, falsche Informationen darstellen, beliebige Dateien und Ordner erstellen, Informationen ausspähen, beliebige UNIX-Sockets erstellen und öffnen und in beliebige Verzeichnisse wechseln. Voraussetzung ist in jedem Fall ein Ruby-Script, welches externe Eingaben akzeptiert und diese abhängig von der Schwachstelle auf spezielle Weise weiterverarbeitet.
Der Hersteller stellt die Versionen 2.2.10, 2.3.7, 2.4.4 und 2.5.1 zur Behebung der Schwachstellen zur Verfügung. Mit den jeweiligen Release Notes verweist der Hersteller auch auf ein Sicherheitsupdate für RubyGems auf Version 2.7.6 (siehe Referenzen).
Schwachstellen:
CVE-2017-17742
Schwachstelle in Ruby ermöglicht Darstellen falscher InformationenCVE-2018-6914
Schwachstelle in Ruby ermöglicht Erstellen beliebiger Dateien und VerzeichnisseCVE-2018-8777
Schwachstelle in Ruby ermöglicht Denial-of-Service-AngriffCVE-2018-8778
Schwachstelle in Ruby ermöglicht Ausspähen von InformationenCVE-2018-8779
Schwachstelle in Ruby ermöglicht Erstellen und Öffnen von SocketsCVE-2018-8780
Schwachstelle in Ruby ermöglicht Wechseln in beliebige Verzeichnisse
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.