2018-1509: Ruby: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-08-02 18:42): Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Ruby und RubyGems ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und beliebiger Kommandozeilenbefehle, die Darstellung falscher Informationen, die Manipulation von Dateien, das Ausspähen von Informationen, das Erstellen und Öffnen von Sockets sowie einen Denial-of-Service (DoS)- und einen Cross-Site-Scripting (XSS)-Angriff. Zwei weitere Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer ebenfalls das Umgehen von Sicherheitsvorkehrungen und die Ausführung beliebigen Programmcodes.

Für Debian Stretch (stable) steht ein Sicherheitsupdate für 'ruby2.3' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2017-17405

Schwachstelle in Ruby ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-17742

Schwachstelle in Ruby ermöglicht Darstellen falscher Informationen

CVE-2017-17790

Schwachstelle in Ruby ermöglicht Ausführung beliebiger Befehle

CVE-2018-1000073

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1000074

Schwachstelle in Ruby ermöglicht Ausführen beliebigen Programmcodes

CVE-2018-1000075

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2018-1000076

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1000077

Schwachstelle in Ruby ermöglicht Darstellen falscher Informationen

CVE-2018-1000078

Schwachstelle in Ruby ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-1000079

Schwachstelle in Ruby ermöglicht Manipulation von Daten

CVE-2018-6914

Schwachstelle in Ruby ermöglicht Erstellen beliebiger Dateien und Verzeichnisse

CVE-2018-8777