2018-1248: Sprockets: Eine Schwachstelle ermöglicht das Ausspähen von Informationen
Historie:
- Version 1 (2018-06-28 13:25)
- Neues Advisory
- Version 2 (2018-07-02 11:35)
- Für openSUSE Leap 42.3 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'rubygem-sprockets' zur Verfügung.
- Version 3 (2018-07-04 11:26)
- Für Fedora 27 und 28 stehen Sicherheitsupdates für 'rubygem-sprockets' im Status 'testing' (Fedora 28) und 'pending' (Fedora 27) zur Verfügung.
- Version 4 (2018-07-10 11:03)
- Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate für 'ruby-sprockets' bereit, um die Schwachstelle zu beheben.
- Version 5 (2018-07-12 14:19)
- Debian stellt für die Debian Jessie (LTS) ein Sicherheitsupdate für 'ruby-sprockets' bereit, um die Schwachstelle zu beheben.
- Version 6 (2018-07-19 18:12)
- Für SUSE Linux Enterprise High Availability 15 steht ein Sicherheitsupdate für 'rubygem-sprockets' zur Behebung der Schwachstelle bereit.
- Version 7 (2018-07-24 19:16)
- Red Hat stellt für die Software Collections 1 für Server für Enterprise Linux 6, 6.7, 7, 7.3, 7.4, 7.5 sowie für Software Collections für Workstation für Enterprise Linux 6 und 7 Sicherheitsupdates für die Pakete 'rh-ror42-rubygem-sprockets' und 'rh-ror50-rubygem-sprockets' zur Behebung der Schwachstelle zur Verfügung.
- Version 8 (2018-07-30 11:58)
- openSUSE veröffentlicht für openSUSE Leap 15.0 ein Sicherheitsupdate für 'rubygem-sprockets' zur Behebung der Schwachstelle.
- Version 9 (2018-08-07 11:11)
- Für SUSE OpenStack Cloud 7 steht ein Sicherheitsupdate für 'rubygem-sprockets-2_12' zur Behebung der Schwachstelle zur Verfügung.
- Version 10 (2018-10-09 11:21)
- Für SUSE Container as a Service Platform 3.0 stehen Sicherheitsupdates für die Pakete 'kubernetes-salt' und 'velum' bereit, mit denen ein Update auf die 'rubygem-sprockets'-Version 3.7.2 vorgenommen wird. Die Sicherheitsupdates beheben neben der referenzierten Schwachstelle auch zwei nicht sicherheitsrelevante Fehler.
Betroffene Software
Entwicklung
Server
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Apple
Linux
Microsoft
Beschreibung:
Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Sprockets ausnutzen, um Systemdateien auszulesen.
Der Hersteller stellt Sprockets 3.7.2 als Sicherheitsupdate zur Behebung der Schwachstelle zur Verfügung. GitLab hat diese Version in die neue Version 11.0.2 von GitLab Community Edition (CE) und Enterprise Edition (EE) übernommen, um die Schwachstelle zu adressieren. Diese Version behebt auch eine Reihe von Regressionen und Fehlern, die in dem GitLab 11.0 Release von diesem Monat und früheren Versionen bestanden.
Schwachstellen:
CVE-2018-3760
Schwachstelle in Sprockets ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.