2018-0718: Ruby: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2018-04-17 11:48)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe präparierter Ruby-Kommandos u.a. falsche Informationen darstellen, beliebige Dateien und Ordner erstellen, Informationen ausspähen, beliebige UNIX-Sockets erstellen und öffnen und in beliebige Verzeichnisse wechseln. Voraussetzung ist in jedem Fall ein Ruby-Script, welches externe Eingaben akzeptiert und diese abhängig von der Schwachstelle auf spezielle Weise weiterverarbeitet.

Für Ubuntu 17.10, 16.04 LTS sowie 14.04 LTS stehen abhängig von der Distribution Backport-Sicherheitsupdates für 'ruby2.3', 'ruby2.0' bzw. 'ruby1.9.1' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2018-6914

Schwachstelle in Ruby ermöglicht Erstellen beliebiger Dateien und Verzeichnisse

CVE-2018-8778

Schwachstelle in Ruby ermöglicht Ausspähen von Informationen

CVE-2018-8779

Schwachstelle in Ruby ermöglicht Erstellen und Öffnen von Sockets

CVE-2018-8780

Schwachstelle in Ruby ermöglicht Wechseln in beliebige Verzeichnisse

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.