2021-0683: Ruby: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-04-06 18:54)

Neues Advisory

Version 2 (2021-04-12 10:23)

Für Fedora 32 und 33 stehen Sicherheitsupdates auf Ruby 2.7.3 im Status 'testing' bereit. In den Sicherheitshinweisen wird nur CVE-2021-28965 explizit erwähnt, da CVE-2021-28966 lediglich WIndows-Systeme betrifft.

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren und Sicherheitsvorkehrungen zu umgehen.

Der Hersteller bestätigt die Schwachstellen und stellt die Versionen 2.5.9 sowie 2.6.7 zur Behebung der Schwachstellen CVE-2020-25613 und CVE-2021-28965 zur Verfügung. Weiterhin veröffentlicht der Hersteller die Versionen 2.7.3 und 3.0.1, welche die Schwachstellen CVE-2021-28965 und CVE-2021-28966 beheben. CVE-2021-28966 betrifft nur Windows-Systeme.

Schwachstellen:

CVE-2020-25613

Schwachstelle in WEBrick / Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-28965

Schwachstelle in RubyGem REXML ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-28966

Schwachstelle in Ruby ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.