2019-0855: Ruby on Rails: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-05-02 13:28)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein vermutlich entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell gestalteter 'Accept-Header' einen Denial-of-Service (DoS)-Zustand herbeiführen und Informationen ausspähen. Eine weitere Schwachstelle ermöglicht einem solchen Angreifer die Ausführung beliebigen Programmcodes.

Für Fedora 30 stehen verschiedene aktualisierte 'rubygem'-Pakete als Sicherheitsupdates im Status 'testing' bereit, um die Schwachstellen zu beheben. Die Pakete werden damit jeweils auf Version 5.2.3 aktualisiert.

Schwachstellen:

CVE-2019-5418

Schwachstelle in Rubygem Actionview ermöglicht Ausspähen von Informationen

CVE-2019-5419

Schwachstelle in Rubygem Actionview ermöglicht Denial-of-Service-Angriff

CVE-2019-5420

Schwachstelle in Rubygem ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.