DFN-CERT

Advisory-Archiv

2018-2445: Red Hat Software Collections, Ruby: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-11-29 15:43)
Neues Advisory

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstelle in der Skriptsprache Ruby ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen, einen Cross-Site-Scripting (XSS)-Angriff, die Darstellung falscher Informationen, einen Denial-of-Service (DoS)-Angriff, die Erstellung beliebiger Dateien und Verzeichnisse, die Erstellung und das Öffnen von Sockets, die Manipulation von Daten, das Umgehen von Sicherheitsvorkehrungen und den Wechsel in beliebige Verzeichnisse. Zwei weitere Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und das Umgehen weiterer Sicherheitsvorkehrungen.

Für Red Hat Software Collections stehen Sicherheitsupdates für 'rh-ruby23-ruby', 'rh-ruby24-ruby' und 'rh-ruby25-ruby' bereit, um die entsprechenden Schwachstellen zu beheben. Damit werden die Pakete 'rh-ruby23-ruby' (auf Version 2.3.8), 'rh-ruby23-rubygems' (2.5.2.3), 'rh-ruby24-ruby' (2.4.5), 'rh-ruby24-rubygems' (2.6.14.3), 'rh-ruby24-rubygem-bigdecimal' (1.3.2), 'rh-ruby24-rubygem-openssl' (2.0.9), 'rh-ruby25-ruby' (2.5.3), 'rh-ruby25-rubygems' (2.7.6) und 'rh-ruby25-rubygem-openssl' (2.1.2) aktualisiert.

Die Updates stehen unter anderem für Red Hat Enterprise Linux (RHEL) Server 6, 6.7, 7, 7.4, 7.5 und 7.6, für RHEL Server for ARM sowie für RHEL Workstation 6 und 7 zur Verfügung.

Schwachstellen:

CVE-2017-17742

Schwachstelle in Ruby ermöglicht Darstellen falscher Informationen

CVE-2018-1000073

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1000074

Schwachstelle in Ruby ermöglicht Ausführen beliebigen Programmcodes

CVE-2018-1000075

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2018-1000076

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1000077

Schwachstelle in Ruby ermöglicht Darstellen falscher Informationen

CVE-2018-1000078

Schwachstelle in Ruby ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-1000079

Schwachstelle in Ruby ermöglicht Manipulation von Daten

CVE-2018-16395

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-16396

Schwachstelle in Ruby ermöglicht Darstellung falscher Informationen

CVE-2018-6914

Schwachstelle in Ruby ermöglicht Erstellen beliebiger Dateien und Verzeichnisse

CVE-2018-8777

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2018-8778

Schwachstelle in Ruby ermöglicht Ausspähen von Informationen

CVE-2018-8779

Schwachstelle in Ruby ermöglicht Erstellen und Öffnen von Sockets

CVE-2018-8780

Schwachstelle in Ruby ermöglicht Wechseln in beliebige Verzeichnisse

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.