2018-1509: Ruby: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-08-02 18:42)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Ruby und RubyGems ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und beliebiger Kommandozeilenbefehle, die Darstellung falscher Informationen, die Manipulation von Dateien, das Ausspähen von Informationen, das Erstellen und Öffnen von Sockets sowie einen Denial-of-Service (DoS)- und einen Cross-Site-Scripting (XSS)-Angriff. Zwei weitere Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer ebenfalls das Umgehen von Sicherheitsvorkehrungen und die Ausführung beliebigen Programmcodes.
Für Debian Stretch (stable) steht ein Sicherheitsupdate für 'ruby2.3' zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2017-17405
Schwachstelle in Ruby ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-17742
Schwachstelle in Ruby ermöglicht Darstellen falscher InformationenCVE-2017-17790
Schwachstelle in Ruby ermöglicht Ausführung beliebiger BefehleCVE-2018-1000073
Schwachstelle in Ruby ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-1000074
Schwachstelle in Ruby ermöglicht Ausführen beliebigen ProgrammcodesCVE-2018-1000075
Schwachstelle in Ruby ermöglicht Denial-of-Service-AngriffCVE-2018-1000076
Schwachstelle in Ruby ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-1000077
Schwachstelle in Ruby ermöglicht Darstellen falscher InformationenCVE-2018-1000078
Schwachstelle in Ruby ermöglicht Cross-Site-Scripting-AngriffCVE-2018-1000079
Schwachstelle in Ruby ermöglicht Manipulation von DatenCVE-2018-6914
Schwachstelle in Ruby ermöglicht Erstellen beliebiger Dateien und VerzeichnisseCVE-2018-8777
Schwachstelle in Ruby ermöglicht Denial-of-Service-AngriffCVE-2018-8778
Schwachstelle in Ruby ermöglicht Ausspähen von InformationenCVE-2018-8779
Schwachstelle in Ruby ermöglicht Erstellen und Öffnen von SocketsCVE-2018-8780
Schwachstelle in Ruby ermöglicht Wechseln in beliebige Verzeichnisse
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.