2021-2473: Ruby: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-11-25 14:47)

Neues Advisory

Version 2 (2021-12-28 13:06)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'ruby2.3' in Version 2.3.3-1+deb9u11 bereit, um die Schwachstellen CVE-2021-41817 und CVE-2021-41819 zu beheben.

Version 3 (2022-01-19 09:15)

Für Ubuntu 21.10, Ubuntu 21.04 und Ubuntu 20.04 LTS stehen Sicherheitsupdates für 'ruby2.7', für Ubuntu 18.04 LTS für 'ruby2.5' und für Ubuntu 16.04 ESM für 'ruby2.3' zur Behebung der referenzierten Schwachstellen bereit, wobei die Schwachstelle CVE-2021-41816 Ubuntu 18.04 LTS und Ubuntu 16.04 ESM nicht betrifft.

Version 4 (2022-02-04 12:28)

Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'ruby2.7' in Version 2.7.4-1+deb11u1 bereit.

Version 5 (2022-04-22 09:01)

Für Fedora 34 und 35 stehen Sicherheitsupdates in Form von 'ruby-3.0.4-152'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 6 (2022-04-28 11:03)

Für Fedora 34 und 35 stehen aktualisierte Sicherheitsupdates in Form von 'ruby-3.0.4-153'-Paketen im Status 'testing' bereit, um eine Regression in den vorhergehenden 'ruby-3.0.4-152'-Paketen zu beheben.

Version 7 (2022-08-02 08:39)

Für Red Hat Enterprise Linux 8 stehen Backport-Sicherheitsupdates für das Modul 'ruby:2.5' bereit, mit denen die beiden Schwachstellen CVE-2021-41817 und CVE-2021-41819 adressiert werden.

Version 8 (2022-08-04 09:44)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates in Form aktualisierter 'ruby:2.5'-Pakete zur Behebung der Schwachstellen CVE-2021-41817 und CVE-2021-41819 bereit.

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen und Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller bestätigt die Schwachstellen und stellt die Versionen 2.6.9 (nur CVE-2021-41817 und CVE-2021-41819), 2.7.5 und 3.0.3 zu deren Behebung zur Verfügung.

Schwachstellen:

CVE-2021-41816

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2021-41817

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2021-41819

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.