2018-0650: Ruby: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2018-04-06 18:24)
- Neues Advisory
- Version 2 (2018-04-16 11:42)
- Der Patch für CVE-2018-1000074 (USN-3621-1) war unvollständig und führte zu Problemen bei Ubuntu 14.04 LTS. Canonical macht dieses Sicherheitsupdate durch die Veröffentlichung von USN-3621-2 wieder rückgängig, bis die Untersuchungen zu den Problemen abgeschlossen sind.
- Version 3 (2018-06-08 17:54)
- Für Debian Stretch (stable) 9.4 steht ein Sicherheitsupdate für 'jruby' bereit, um diese Schwachstellen zu beheben.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Ruby bzw. in RubyGems ermöglichen einem entfernten, nicht authentisierten Angreifer das Darstellen falscher Informationen und einen Cross-Site-Scripting (XSS)-Angriff sowie einem lokalen, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen und einen Denial-of-Service (DoS)-Angriff.
Canonical stellt für Ubuntu 14.04 LTS, 16.04 LTS und 17.10 Sicherheitsupdates für Ruby bereit, um die Schwachstellen zu beheben. Die Schwachstellen wurden mit der Veröffentlichung von RubyGems 2.7.6 behoben.
Schwachstellen:
CVE-2018-1000073
Schwachstelle in Ruby ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-1000074
Schwachstelle in Ruby ermöglicht Ausführen beliebigen ProgrammcodesCVE-2018-1000075
Schwachstelle in Ruby ermöglicht Denial-of-Service-AngriffCVE-2018-1000076
Schwachstelle in Ruby ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-1000077
Schwachstelle in Ruby ermöglicht Darstellen falscher InformationenCVE-2018-1000078
Schwachstelle in Ruby ermöglicht Cross-Site-Scripting-AngriffCVE-2018-1000079
Schwachstelle in Ruby ermöglicht Manipulation von Daten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.