2021-1464: Ruby: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-07-09 13:42)

Neues Advisory

Version 2 (2021-07-21 20:23)

Canonical veröffentlicht für Ubuntu 21.04, Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 ESM Sicherheitsupdates für 'ruby' 2.7, 2.5 bzw. 2.3 zur Behebung der Schwachstellen.

Version 3 (2021-10-13 18:58)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'ruby2.3' in Version 2.3.3-1+deb9u10 bereit, um die Schwachstellen zu beheben.

Version 4 (2021-12-02 08:53)

Für SUSE MicroOS 5.0, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise Module for Basesystem 15 SP2 und 15 SP3, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Enterprise Storage 6, SUSE CaaS Platform 4.0 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'ruby2.5' bereit, um die drei Schwachstellen zu beheben.

Version 5 (2021-12-07 10:35)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'ruby2.5' bereit, um die Schwachstellen zu beheben.

Version 6 (2022-02-25 08:24)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 steht ein Sicherheitsupdate für das Modul 'ruby:2.5' bereit, um die Schwachstellen zu beheben.

Version 7 (2022-03-01 08:35)

Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für das Modul 'ruby:2.5' bereit, um die Schwachstellen zu beheben.

Version 8 (2022-03-18 16:21)

Für Oracle Linux 8 (aarch64, x86_64) steht ein neueres Sicherheitsupdate (Rebuild) für das Modul 'ruby:2.5' bereit, um die Schwachstellen und zusätzlich einen weiteren Fehler zu adressieren.

Betroffene Software

Entwicklung

Betroffene Plattformen

Cloud
Apple
Linux
Microsoft
Oracle
Container

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, falsche Informationen darzustellen und Sicherheitsvorkehrungen zu umgehen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller bestätigt die Schwachstellen und stellt die Versionen 2.6.8, 2.7.4 und 3.0.2 zu deren Behebung zur Verfügung.

Schwachstellen:

CVE-2021-31799

Schwachstelle in Ruby ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-31810

Schwachstelle in Ruby ermöglicht u. a. Ausspähen von Informationen

CVE-2021-32066

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.