2019-0466: Ruby: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-03-06 18:34)

Neues Advisory

Version 2 (2019-03-29 12:21)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'ruby2.1' in Form des Paketes '2.1.5-2+deb8u7 bereit.

Version 3 (2019-04-11 19:24)

Canonical stellt für Ubuntu 18.10, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für 'ruby1.9.1', 'ruby2.0', 'ruby2.3' und 'ruby2.5' bereit.

Version 4 (2019-04-17 14:21)

Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate für 'ruby2.3' zur Verfügung, um die aufgeführten Schwachstellen zu beheben.

Version 5 (2019-04-24 12:16)

Für Fedora 29 steht ein Sicherheitsupdate in Form des Paketes 'ruby-2.5.5-101.fc29' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 6 (2019-05-02 12:37)

Für Fedora 28 steht ein Sicherheitsupdate in Form des Pakets 'ruby-2.5.5-108.fc28' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Version 7 (2019-05-13 18:27)

Für Red Hat Software Collections stehen Sicherheitsupdates für 'rh-ruby23-ruby', 'rh-ruby24-ruby' und 'rh-ruby25-ruby' bereit, um die Schwachstellen zu beheben. Damit werden die Pakete 'rh-ruby24-ruby' auf Version 2.4.6 und 'rh-ruby25-ruby' auf Version 2.5.5 aktualisiert. Für das Paket 'rh-ruby23-ruby' wird nur die Schwachstelle CVE-2019-8324 referenziert. Die Updates stehen unter anderem für Red Hat Enterprise Linux (RHEL) Server 6, 7, 7.4, 7.5 und 7.6, für RHEL Server for ARM 7 sowie für RHEL Workstation 6 und 7 zur Verfügung.

Version 8 (2019-05-16 11:40)

Red Hat behebt die Schwachstellen CVE-2019-8322 bis CVE-2019-8325 mittels Sicherheitsupdates für 'ruby' für die Red Hat Enterprise Linux Produkte Server, for ARM, for Scientific Computing, Workstation und Desktop in Version 7, Server AUS, EUS und TUS sowie EUS HPC Node in Version 7.6. Korrespondierend stellt Oracle ein Sicherheitsupdate für Oracle Linux 7 (x86_64) zur Verfügung, welches die gleichen Schwachstellen adressiert.

Version 9 (2019-06-11 13:32)

Red Hat stellt ein Sicherheitsupdate der CloudForms Management Engine 5.10 für CloudForms 4.7 zur Verfügung.

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server
Systemsoftware
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein vermutlich entfernter, nicht authentisierter Angreifer kann mit Hilfe eines präparierten Gems beliebigen Programmcode ausführen, über das Einschleusen von Escape-Sequenzen auf verschiedenen Wegen beliebige Befehle zur Ausführung bringen und durch das Löschen von Verzeichnissen und Dateien über Symlinks einen Denial-of-Service (DoS)-Angriff durchführen.

Der Hersteller stellt Sicherheitsupdates in Form von Patches für die Ruby Versionen 2.4.5, 2.5.3 und 2.6.1 zur Behebung der Schwachstellen zur Verfügung. Ferner verweist der Hersteller auf die RubyGems Versionen 2.7.9 und 3.0.3, in denen die Schwachstellen ebenfalls behoben wurden (siehe Referenzen).

Schwachstellen:

CVE-2019-8320

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2019-8321

Schwachstelle in Ruby ermöglicht Ausführung beliebiger Befehle

CVE-2019-8322

Schwachstelle in Ruby ermöglicht Ausführung beliebiger Befehle

CVE-2019-8323

Schwachstelle in Ruby ermöglicht Ausführung beliebiger Befehle

CVE-2019-8324

Schwachstelle in Ruby ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8325

Schwachstelle in Ruby ermöglicht Ausführung beliebiger Befehle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.