2018-2184: Ruby: Zwei Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-10-29 18:13)

Neues Advisory

Version 2 (2018-11-05 11:08)

Für Debian Stretch (stable) steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'ruby2.3' zur Verfügung.

Version 3 (2018-11-06 12:00)

Canonical veröffentlicht für die Distributionen Ubuntu 18.10, 18.04 LTS, 16.04 LTS und 14.04 LTS Backport-Sicherheitsupdates für die Pakete 'ruby2.5', 'ruby2.3', 'ruby1.9.1' bzw. 'ruby2.0', um die Schwachstellen zu beheben.

Version 4 (2018-11-13 10:25)

Für Fedora 28 steht ein Sicherheitsupdate in Form des Paketes 'ruby-2.5.3-94.fc28' im Status 'testing' bereit.

Version 5 (2018-11-14 10:47)

Für Fedora 27 steht ein Sicherheitsupdate auf die Ruby Version 2.4.5 zur Behebung der Schwachstellen im Status 'testing' bereit.

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle ermöglicht dem Angreifer die Darstellung falscher Informationen.

Der Hersteller hat Ruby 2.5.2, 2.4.5 und 2.3.8 als Sicherheitsupdates zur Verfügung gestellt. Da die Version 2.5.2 mit einem Build-Fehler ausgeliefert wurde, steht zusätzlich Ruby 2.5.3 als fehlerbereinigte Version bereit.

Für Debian Jessie (LTS) steht ein Sicherheitsupdate für 'ruby2.1' bereit.

Schwachstellen:

CVE-2018-16395

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-16396

Schwachstelle in Ruby ermöglicht Darstellung falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.